PDA

Просмотр полной версии : Актуальные зловреды



Страницы : [1] 2

AndreyKa
05.01.2008, 15:00
Trojan-PSW.Win32.OnLineGames.mze

Здесь и далее во всех заголовках сообщений имя по классификации антивируса Касперского.

Алиасы
Packer.Malware.NSAnti.J (BitDefender)
VirTool:Win32/Obfuscator!Mal (Microsoft)
Troj/Lineag-Gen (Sophos)
Infostealer.Gampass (Symantec)

Встречен в темах
http://virusinfo.info/showthread.php?t=15961
http://virusinfo.info/showthread.php?t=15971
http://virusinfo.info/showthread.php?t=16675

Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
semo2x.exe и autorun.inf - на всех дисках в корневой папке

Способ запуска
1. Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.

Внешние проявления (со слов пользователей)
Cкрытые файлы не показывает и диски при двойном клике открываются в новом окне.

AndreyKa
06.01.2008, 17:41
Алиасы
Trojan.Patched.AU (BitDefender)

Встречен в темах
http://virusinfo.info/showthread.php?t=15945
http://virusinfo.info/showthread.php?t=15997
http://virusinfo.info/showthread.php?t=15929
http://virusinfo.info/showthread.php?t=16014
http://virusinfo.info/showthread.php?t=16026
http://virusinfo.info/showthread.php?t=16060
http://virusinfo.info/showthread.php?t=16076
http://virusinfo.info/showthread.php?t=16088
http://virusinfo.info/showthread.php?t=16290
http://virusinfo.info/showthread.php?t=17178

Файлы на диске
Модифицированный (патченный) системный файл
C:\WINDOWS\system32\svchost.exe
Этот файл нельзя удалять!!!
Его нужно заменить на чистый:
1) Записать чистый svchost.exe в папку C:\WINDOWS\system32\dllcache, затерев существующий.
2) Переименовать файл C:\WINDOWS\system32\svchost.exe например в svchost.vir
3) Записать чистый svchost.exe в папку C:\WINDOWS\system32\
4) Перезагрузить компьютер.
Или вылечить антивирусом Касперского.

Способ запуска
Запускается как системный файл, но в отличии от оригинального загружает библиотеку MSCORE.DLL в которой находится троян ( например Trojan.Win32.Small.yd )

Внешние проявления (со слов пользователей)
Исходящий траффик в два раза больше входящего.
Если удален файл MSCORE.DLL, то Windows при запуске задумывается на пару минут (индикатор диска при этом не горит) и загружается. Но все службы, связанные с svchost.exe не запускаются, не работает сеть.

AndreyKa
06.01.2008, 18:20
Алиасы
ADSPY/Bitaccel.A (AntiVir)
Adware Generic2.PHX (AVG)
Adware.Generic.9029 (BitDefender)
AdWare.BHO.cc (CAT-QuickHeal)
Adware.BHO-50 (ClamAV)
Adware.BitAcc (DrWeb)
W32/Adware.YIH (F-Prot)
Adware/BHO.L (Panda)
BitAccelerator (Sophos)
Adware.BHO.PW (VirusBuster)

Встречен в темах
http://virusinfo.info/showthread.php?t=15520
http://virusinfo.info/showthread.php?t=15997
http://virusinfo.info/showthread.php?t=16014
http://virusinfo.info/showthread.php?t=16094
http://virusinfo.info/showthread.php?t=16128
http://virusinfo.info/showthread.php?t=16315
http://virusinfo.info/showthread.php?t=16551
http://virusinfo.info/showthread.php?t=16814
http://virusinfo.info/showthread.php?t=16980
http://virusinfo.info/showthread.php?t=17187
http://virusinfo.info/showthread.php?t=17315
http://virusinfo.info/showthread.php?t=17588

Файлы на диске
C:\Program Files\BitAccelerator\BitAccelerator.dll
C:\Program Files\BitAccelerator\BitAccelerator.exe

Способ запуска
C:\Program Files\BitAccelerator\BitAccelerator.dll BHO {92860A02-4D69-48c1-82D7-EF6B2C609502}

AndreyKa
07.01.2008, 02:57
Алиасы
ADSPY/Bho.IC.25 (AntiVir)
Adware Generic2.UFT (AVG)
Adware.BitAcc (DrWeb)
W32/Adware.AAQX (F-Prot)
Adware/BHO.L (Panda)
BitAccelerator (Sophos)

Встречен в темах
http://virusinfo.info/showthread.php?t=15520
http://virusinfo.info/showthread.php?t=16014
http://virusinfo.info/showthread.php?t=16048
http://virusinfo.info/showthread.php?t=16094
http://virusinfo.info/showthread.php?t=16128
http://virusinfo.info/showthread.php?t=16315
http://virusinfo.info/showthread.php?t=16511
http://virusinfo.info/showthread.php?t=16814
http://virusinfo.info/showthread.php?t=16980
http://virusinfo.info/showthread.php?t=17315
http://virusinfo.info/showthread.php?t=17588
http://virusinfo.info/showthread.php?t=18194

Файлы на диске
C:\Program Files\BitAccelerator\BitAccelerator.dll

Способ запуска
C:\Program Files\BitAccelerator\BitAccelerator.dll BHO {92860A02-4D69-48c1-82D7-EF6B2C609502}

AndreyKa
07.01.2008, 03:05
Алиасы
ADSPY/Bho.KJ (AntiVir)
Adware Generic2.VJU (AVG)
Adware.BitAcc (DrWeb)
W32/Adware.ZOK (F-Prot)

Встречен в темах
http://virusinfo.info/showthread.php?t=15520
http://virusinfo.info/showthread.php?t=16014
http://virusinfo.info/showthread.php?t=16048
http://virusinfo.info/showthread.php?t=16050
http://virusinfo.info/showthread.php?t=16094
http://virusinfo.info/showthread.php?t=16128
http://virusinfo.info/showthread.php?t=16315
http://virusinfo.info/showthread.php?t=16348
http://virusinfo.info/showthread.php?t=16456
http://virusinfo.info/showthread.php?t=16489
http://virusinfo.info/showthread.php?t=16416
http://virusinfo.info/showthread.php?t=16511
http://virusinfo.info/showthread.php?t=16760
http://virusinfo.info/showthread.php?t=16769
http://virusinfo.info/showthread.php?t=16814
http://virusinfo.info/showthread.php?t=16865
http://virusinfo.info/showthread.php?t=17315
http://virusinfo.info/showthread.php?t=17510
http://virusinfo.info/showthread.php?t=17588

Файлы на диске
C:\Program Files\ConnectionServices\ConnectionServices.dll

Способ запуска
C:\Program Files\ConnectionServices\ConnectionServices.dll BHO {6D7B211A-88EA-490c-BAB9-3600D8D7C503}

AndreyKa
07.01.2008, 13:32
Алиасы
TR/Killav.NE (AntiVir)
Win32.Sector.4 (DrWeb)

Встречен в темах
http://virusinfo.info/showthread.php?t=16051
http://virusinfo.info/showthread.php?t=16054
http://virusinfo.info/showthread.php?t=16164
http://virusinfo.info/showthread.php?t=16250
http://virusinfo.info/showthread.php?t=16621
http://virusinfo.info/showthread.php?t=16990
http://virusinfo.info/showthread.php?t=17034

Файлы на диске
Может быть в виде файлов с расширением sys или dll. Имена файлов, скорее всего, случайные:
C:\WINDOWS\System32\drivers\mnnphn.sys
C:\WINDOWS\system32\vg109974.dll

Способ запуска
Драйвер: MCIDRV_2600_6_0 C:\WINDOWS\System32\drivers\mnnphn.sys (состояние: не запущен)

dll в запущенном состоянии детектируется AVZ:
С:\WINDOWS\system32\vg109974.dll>>> Нейросеть: файл с вероятностью 99.05% похож на типовой перехватчик событий клавиатуры/мыши
Источником этого трояна является файловый вирус.
Добавленны процедуры лечения этого вируса в антивирусы Касперского и DrWeb.
DrWeb детектирует зараженный файл как Win32.Sector.4
Антивирус Касперского детектирует зараженный файл как Virus.Win32.Sality.v

Внешние проявления (со слов пользователей)
Устанавливается в составе с другими вредоносными программами.
AVZ теперь после каждой перезагрузки совсем исчезает. Также удалился и CureIt!.

AndreyKa
07.01.2008, 22:40
Алиасы
Rkit/Agent.SC.1 (AntiVir)
BackDoor.Generic9.JSS (AVG)
W32/Agent.SC!tr.rkit (Fortinet)
VirTool:WinNT/Srizbi.A (Microsoft)
Rootkit/Agent.HOT (Panda)
Trojan/Agent.sc (TheHacker)

Встречен в темах
http://virusinfo.info/showthread.php?t=15997
http://virusinfo.info/showthread.php?t=16055

Файлы на диске
Имя файла случайное, состоит из нескольких букв и цифр. Например:
C:\WINDOWS\system32\drivers\Fhy58.sys
C:\WINDOWS\system32\drivers\Kkt51.sys
C:\WINDOWS\system32\drivers\Qby41.sys
C:\WINDOWS\system32\drivers\symavc32.sys
C:\WINDOWS\system32\Drivers\Cof49.sys
Размер 139.5 КБ

Способ запуска
Запускается как модуль пространства ядра.

Внешние проявления
В списке процессов имеется iexplore.exe с пометкой маскировки процесса (User Mode RootKit).
При попытке лечения в нормальном режиме запуска Windows компьютер зависает с черным экраном.
Лечить следует в безопасном режиме.

Зайцев Олег
07.01.2008, 23:04
Алиасы
TR/Killav.NE (AntiVir)
Trojan.DownLoader.38489 (DrWeb)

Встречен в темах
http://virusinfo.info/showthread.php?t=16051
http://virusinfo.info/showthread.php?t=16054

Файлы на диске
Может быть в виде файлов с расширением sys или dll. Имена файлов, скорее всего, случайные:
C:\WINDOWS\System32\drivers\mnnphn.sys
C:\WINDOWS\system32\vg109974.dll

Способ запуска
Драйвер: MCIDRV_2600_6_0 C:\WINDOWS\System32\drivers\mnnphn.sys (состояние: не запущен)

Способ запуска файла dll не ясен. Но в запущенном состоянии детектируется AVZ:
С:\WINDOWS\system32\vg109974.dll>>> Нейросеть: файл с вероятностью 99.05% похож на типовой перехватчик событий клавиатуры/мыши

Внешние проявления (со слов пользователей)
Устанавливается в составе с другими вредоносными программами.
AVZ теперь после каждой перезагрузки совсем исчезает. Также удалился и CureIt!.

Это довольно злобная зараза. DLL дропает файл драйвера, дропается он в папку WINDOWS\System32\drivers, имя действительно изменяется. Драйвер регистрируется в реестре через штатное API, после регистрации он загружается. В драйвере хранится список имен фрагментов URL сайтов различных AV вендоров, список зашифрован. Задача драйвера - блокировать доступ к данным сайтам (если туда добавить virusinfo - пострадавший сюда не попадет). В самой DLL здоровенный список (зашифрованный) того, а с чем эта зараза может бороться ... в списке есть все распространенные антивирусы, Firewall и антитрояны, в частности там есть AVZ, AVP, DRWEB ... Борьба с антивирусами идет в два этапа - ведется попытка открытия служб по именам, при успешном открытии идет удаление. Это идет отдельным потоком ... другие потоки сканируют диски на предмет наличия файлов .VDB, .AVC, .KEY, .EXE, .SCR. При обнаружении принадлежащих антивирусам файлов зловред ведет их удаление. Пытается отключить UAC в Vista через реестр ... ведет обмен с сайтом в Инет

AndreyKa
07.01.2008, 23:30
Алиасы
Generic9.AGXO (AVG)
Trojan.Kobcka.BY (BitDefender)
Trojan.Downloader-18735 (ClamAV)
BackDoor.Bulknet.112 (DrWeb)
Win32.Agent.ggt (eSafe)
Downloader.Agent.ggt (Ewido)
W32/Pushu.GGT!tr.dldr (Fortinet)
Generic.dx (McAfee)
VirTool:WinNT/Cutwail.F (Microsoft)
Win32/Wigon.AH (NOD32v2)
RootKit.Win32.Mnless.et (Rising)
Trojan-Downloader.Win32.Agent.gh (Sunbelt)
Trojan.Pandex (Symantec)
Trojan/Downloader.Agent.ggt (TheHacker)
Trojan.Wigon.C (VirusBuster)

Встречен в темах
http://virusinfo.info/showthread.php?t=15476
http://virusinfo.info/showthread.php?t=15608
http://virusinfo.info/showthread.php?t=15660
http://virusinfo.info/showthread.php?t=15989
http://virusinfo.info/showthread.php?t=16060
http://virusinfo.info/showthread.php?t=16202
http://virusinfo.info/showthread.php?t=16213
http://virusinfo.info/showthread.php?t=16257
http://virusinfo.info/showthread.php?t=16509
http://virusinfo.info/showthread.php?t=16595
http://virusinfo.info/showthread.php?t=16852
http://virusinfo.info/showthread.php?t=17455
http://virusinfo.info/showthread.php?t=17707
http://virusinfo.info/showthread.php?t=19242

Файлы на диске
Имя файла случайное, состоит из трех букв и двух цифр. Например:
C:\WINDOWS\system32\drivers\Taf40.sys
C:\WINDOWS\System32\drivers\Cyb60.sys
размер 21760 байт.
Обычно, есть копия этого трояна в папке C:\WINDOWS

Способ запуска
Драйвер: Cyb60 C:\WINDOWS\System32\Drivers\Cyb60.sys Группа: SCSI Class
(имя драйвера = имя файла)

Внешние проявления
Файл с соответствующем именем в списках "Модули пространства ядра" и
Драйверы.

AndreyKa
08.01.2008, 18:55
Алиасы
Infostealer.Gampass (Symantec)
Mal/Basine-C (Sophos)
Trj/ProxyServer.AS (Panda)
Trojan.Downloader-20037 (ClamAV)
Trojan.MulDrop.8347 (DrWeb)
Trojan.Proxy.Metro.D (BitDefender)
TrojanDownloader.Dirat.aw (CAT-QuickHeal)
W32/Basine.AW!tr.dldr (Fortinet)
W32/Downldr2.AUYI (F-Prot)

Встречен в темах
http://virusinfo.info/showthread.php?t=15990
http://virusinfo.info/showthread.php?t=16083

Файлы на диске
c:\windows\system32\vhosts.exe
19968 байт
MD5=5C1321793E369D890695FECED14B1AAC
использует трояна в файле MSCORE.DLL

Способ запуска
Служба msupdate "Microsoft security update service" c:\windows\system32\vhosts.exe

AndreyKa
08.01.2008, 21:39
Алиасы
BackDoor.Generic9.JSD (AVG)
Backdoor.Small.cbo (CAT-QuickHeal)
Generic.dx (McAfee)
Trojan.Perfcoo (Symantec)
Trojan.Proxy.1739 (DrWeb)
TrojanDownloader:Win32/Eldycow.gen!A (Microsoft)
W32/Backdoor2.DZB (F-Prot)

Встречен в темах
http://virusinfo.info/showthread.php?t=15680
http://virusinfo.info/showthread.php?t=16041
http://virusinfo.info/showthread.php?t=16055
http://virusinfo.info/showthread.php?t=16125

Файлы на диске
C:\WINDOWS\murka.dat
MD5=677C2CE46988695A7605B430DA399A38
6144 байт

Способ запуска
C:\WINDOWS\murka.dat
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs

AndreyKa
08.01.2008, 21:56
Идет в комплекте с Trojan.Win32.Agent.dqz и Backdoor.Win32.Small.cbo

Алиасы
Aplicacion/Renos.aom (TheHacker)
Generic9.AJYI (AVG)
Hoax.Renos.aom (Not a Virus) (CAT-QuickHeal)
TR/Renos.4608.2 (AntiVir)
Trojan:Win32/Wantvi.B (Microsoft)
Win32/Eldycow.N (eTrust-Vet)
Win32/TrojanDownloader.FakeAlert.U (NOD32v2)

Встречен в темах
http://virusinfo.info/showthread.php?t=15680
http://virusinfo.info/showthread.php?t=16041
http://virusinfo.info/showthread.php?t=16055
http://virusinfo.info/showthread.php?t=16125
http://virusinfo.info/showthread.php?t=16779

Файлы на диске
exe файл в папке Windows, возможны различные имена.
c:\windows\medichi.exe
C:\WINDOWS\mustafx.exe
4608 байт

Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, Medichi (имя может быть другим)
В автозапуск также прописан файл с таким же именем + цифра 2 на конце.

Внешние проявления (со слов пользователей)
Предложение об установке spyware и появляется строка о копировании чего-то куда то .. Меняется время само по себе.

AndreyKa
09.01.2008, 23:27
Алиасы
Logger.Banker.hbo (Ewido)
PSW.Banker4.NBL (AVG)
TR/Spy.Banker.hbo (AntiVir)
Trojan-Spy.Banker.hbo (Sunbelt)
Trojan.Banker.Delf.YBG (BitDefender)
Trojan.PWS.Banker.14622 (DrWeb)
Trojan/Spy.Banker.hbo (TheHacker)
TrojanSpy.Banker.hbo (CAT-QuickHeal)
W32/Banker.BCCW (F-Prot)
W32/Banker.HBO!tr.spy (Fortinet)
Win32.Banker.hbo (eSafe)

Встречен в темах
http://virusinfo.info/showthread.php?t=16120
http://virusinfo.info/showthread.php?t=16133
http://virusinfo.info/showthread.php?t=16600

Файлы на диске
C:\WINDOWS\explorer.exe:submitter5.jpg
MD5=16DC64AD2DB4473405AA0631A72020D1
280064 байт
Это альтернативный поток системного файла. Не удаляйте C:\WINDOWS\explorer.exe !!!

Способ запуска
?
Функционирует как модуль процесса c:\windows\explorer.exe

Внешние проявления (со слов пользователей)
Explorer.exe в процессах кушает 99% системных ресурсов, помогает только его закрытие и повторный запуск.

При сканировании диска AVZ обнаруживает:
c:\windows\explorer.exe:submitter5.jpg:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла

AndreyKa
11.01.2008, 00:39
Алиасы
ADSPY/Sert.A (AntiVir)
Adware Generic2.ZOB (AVG)
AdWare.Agent.zo (Not a Virus) (CAT-QuickHeal)
Trojan.Click.5043 (DrWeb)
Win32/TrojanDownloader.Small.NZG (NOD32v2)

Встречен в темах
http://virusinfo.info/showthread.php?t=15997
http://virusinfo.info/showthread.php?t=16125
http://virusinfo.info/showthread.php?t=16150
http://virusinfo.info/showthread.php?t=16290
http://virusinfo.info/showthread.php?t=16727
http://virusinfo.info/showthread.php?t=16779
http://virusinfo.info/showthread.php?t=16856
http://virusinfo.info/showthread.php?t=16979
http://virusinfo.info/showthread.php?t=17562
http://virusinfo.info/showthread.php?t=18363
http://virusinfo.info/showthread.php?t=18610

Файлы на диске
c:\windows\system32\users32.dat
16384 байт

Способ запуска
Способ запуска не определен.
users32.dat функционирует как модуль одного из запущенных пользовательских процессов.
Устанавливается в составе многочисленных вредоносных программ.

Зайцев Олег
11.01.2008, 01:09
Алиасы
ADSPY/Sert.A (AntiVir)
Adware Generic2.ZOB (AVG)
AdWare.Agent.zo (Not a Virus) (CAT-QuickHeal)
Trojan.Click.5043 (DrWeb)
Win32/TrojanDownloader.Small.NZG (NOD32v2)

Встречен в темах
http://virusinfo.info/showthread.php?t=15997
http://virusinfo.info/showthread.php?t=16125

Файлы на диске
c:\windows\system32\users32.dat

Способ запуска
Способ запуска не определен.
users32.dat функционирует как модуль одного из запущенных пользовательских процессов.
Устанавливается в составе многочисленных вредоносных программ.

По показаниям приборов за его повление может отвечать Trojan-Dropper.Win32.Small.bdf, идентичное поведение у AdvWare.Win32.Agent.zb. Из базы анализатора по моему запросу была раскручена возможная цепочка действий дроппера - я советую хелперам присмотреться к драйверу WINDOWS\system32\drivers\beep.sys - с высокой степенью вероятности он подменен. Кроме того, на пораженном ПК стоит поискать файл WINDOWS\system32\dllcache\fuurod.sys. Известные разновидности блокируют антивирусы (avz в том числе) по именам исполняемых файлов.

AndreyKa
11.01.2008, 02:43
Алиасы
BackDoor.Generic9.LBM (AVG)
Generic.Zlob.96765D0B (BitDefender)
Rkit/Agent.SV (AntiVir)
Rootkit.Agent.sv (CAT-QuickHeal)
Trojan:Win32/Wantvi.D (Microsoft)
Trojan.Virantix.B (Symantec)
Trojan/Agent.sv (TheHacker)
W32/Agent.SV!tr.rkit (Fortinet)

Описание
http://www.symantec.com/security_response/writeup.jsp?docid=2007-122607-2738-99&tabid=2 (анг.)
Как уже отметил Зайцев Олег в предыдущем сообщении это один из нескольких файлов, устанавливаемых трояном дропером.
Пользователям, у которых антивирус нашел Rootkit.Win32.Agent.sv следует обратится в раздел Помогите (http://virusinfo.info/forumdisplay.php?f=46), так как, этот файл идет в комплекте с несколькими вредоносными программами и, возможно, не все из них детектируются вашим антивирусом.

Встречен в теме
http://virusinfo.info/showthread.php?t=16041
http://virusinfo.info/showthread.php?t=16055
http://virusinfo.info/showthread.php?t=16167

Файлы на диске
C:\WINDOWS\System32\Drivers\Beep.SYS
61440 байт.
MD5=CD7336CD26222FF6D1C7872DA7A43173

Способ запуска
Подменяет собой системный драйвер с таким же именем и запускается вместо него.

AndreyKa
12.01.2008, 18:42
Алиасы
BackDoor.Generic8.TNU (AVG)
Rootkit.Agent.jp (Ewido)
Rootkit/Spammer.AEL (Panda)
Spy-Agent.bv.sys (McAfee)
TR/Rootkit.Gen (AntiVir)
Troj/RKRun-Gen (Sophos)
Trojan:WinNT/Cutwail.A!sys (Microsoft)
Trojan.Kobcka.AY (BitDefender)
Trojan.NtRootKit.422 (DrWeb)
Trojan.Pandex (Symantec)
Trojan.Rootkit-235 (ClamAV)
Virus.Win32.Small.EPJ (Ikarus)
W32/Agent.DPE!tr.rkit (Fortinet)
W32/Rootkit.AFW (F-Prot)
Win32:Small-EPJ (Avast)
Win32/Rootkit.Agent.EY (NOD32v2)

Встречен в темах
http://virusinfo.info/showthread.php?t=16077
http://virusinfo.info/showthread.php?t=16126
http://virusinfo.info/showthread.php?t=16213
http://virusinfo.info/showthread.php?t=16276
http://virusinfo.info/showthread.php?t=17187
http://virusinfo.info/showthread.php?t=18296

Файлы на диске
C:\WINDOWS\system32\drivers\runtime2.sys

Способ запуска
Служба runtime2

Внешние проявления
В списке "Модули пространства ядра" присутствует файл
C:\WINDOWS\system32\drivers\runtime2.sys
Перехватывает функции:
NtDeleteValueKey
NtEnumerateKey
NtEnumerateValueKey
NtOpenKey
NtSetValueKey

На компьютере в папке C:\WINDOWS\Temp присутствует вредоносный файл startdrv.exe (Trojan.Win32.Pakes.bqb).

AndreyKa
12.01.2008, 19:47
Алиасы
Infostealer.Banker.C (Symantec)
PSW.Generic5.AFBZ (AVG)
PWS:Win32/Bankrypt.gen (Microsoft)
TR/Spy.Broker.ap (AntiVir)
Trj/Sinowal.HM (Panda)
Trojan.Proxy.2486 (DrWeb)
Trojan.Spy.Brokrypt.A (BitDefender)
Trojan.Zbot-159 (ClamAV)
Trojan/Spy.Broker.ao (TheHacker)
TrojanSpy.Broker.ap (CAT-QuickHeal)
W32/Agent.BRW!tr (Fortinet)
W32/Banker.CEEY (Norman)
W32/Trojan2.TRP (F-Prot)

Встречен в темах
http://virusinfo.info/showthread.php?t=16051
http://virusinfo.info/showthread.php?t=16112
http://virusinfo.info/showthread.php?t=16621

Описание
Похищает ценную информацию с зараженного компьютера.
Внедряет свой код во все процессы кроме CSRSS.EXE
Удаляет cookies в кеше Internet Explorer для того чтобы пользователям пришлось заново вводить пароли когда они входят на сайты банков.
Считывает пароли из защищенного хранилища.
Может выполнять следующие действия:
- перехватывать сетевой трафик;
- перехватывать ввод с клавиатуры;
- считывать информацию из буфера Windows;
- захватывать изображение с экрана;
- перенаправлять сетевой трафик.
- загружать собранную информацию на удаленный сайт по FTP протоколу.

http://www.symantec.com/security_response/writeup.jsp?docid=2007-040208-5335-99&tabid=2 (англ.)

Файлы на диске
C:\WINDOWS\System32\ntos.exe

Способ запуска
Ключи реестра
HKEY_USERS
.DEFAULT\Software\Microsoft\Windows\CurrentVersion \Run, userinit
HKEY_LOCAL_MACHINE
Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit

AndreyKa
12.01.2008, 21:24
Алиасы
ADSPY/Agent.YZ (AntiVir)
Adware Generic2.ZJH (AVG)
AdWare.Agent.yz (Not a Virus) (CAT-QuickHeal)
AdWare.Win32.Agent.y (eSafe)
Adware/Agent.yz (TheHacker)
Mal/Behav-119 (Sophos)
Trojan.Agent.AGHG (BitDefender)
Trojan.DownLoader.38353 (DrWeb)
W32/Heuristic-KPP!Eldorado (F-Prot)
Win32:Agent-PCI (Avast)

Описания
Загружает и запускает вредоносные программы, расположенные на веб-сайте.
Для обхода файрвола внедряет свой код в процессы такие как Internet Explorer.

Встречен в темах
http://virusinfo.info/showthread.php?t=16076
http://virusinfo.info/showthread.php?t=16167
http://virusinfo.info/showthread.php?t=16979

Файлы на диске
C:\WINDOWS\windsk.dll
15872 байт

Способ запуска
Запускается другой вредоносной программой, предположительно Rootkit.Win32.Agent.sv
Работает как модуль процессов explorer.exe и iexplore.exe

AndreyKa
12.01.2008, 23:49
Алиасы
Rootkit.Agent.ql (CAT-QuickHeal)
Rootkit.Win32.Agent.tw (F-Secure)
Trojan.NtRootKit.511 (DrWeb)
Trojan.Rootkit.Agent.NDW (BitDefender)
W32/Rootkit.AHL (F-Prot)

Встречен в темах
http://virusinfo.info/showthread.php?t=16155
http://virusinfo.info/showthread.php?t=16189

Файлы на диске
У файла случайное имя из букв, расширение dat, находится в папке C:\WINDOWS\system32\Drivers
Например:
C:\WINDOWS\system32\Drivers\ovtgjscc.dat
C:\WINDOWS\system32\Drivers\uucxtlmr.dat
19456 байт

Способ запуска
Драйвер со случайным именем, отличным от имени файла.
Группа: Boot Bus Extender
Работает как модуль пространства ядра.

Внешние проявления
AVZ в логе лечения выдает сообщение:
>>>> Подозрение на RootKit glvkqfgf C:\WINDOWS\system32\drivers\uucxtlmr.dat

AndreyKa
13.01.2008, 00:42
Алиасы
Downloader.Agent.hbs (Ewido)
Downloader.Agent.ZQF (AVG)
TR/Dldr.Agent.hbs.8 (AntiVir)
Trojan.DownLoader.39204 (DrWeb)
Trojan.Downloader.Agent.YZD (BitDefender)
Trojan/Downloader.Agent.hbs (TheHacker)
TrojanDownloader.Agent.hbs (CAT-QuickHeal)
VirTool:WinNT/Cutwail.F (Microsoft)
Win32/Wigon.AJ (NOD32v2)

Встречен в темах
http://virusinfo.info/showthread.php?t=16202
http://virusinfo.info/showthread.php?t=16213
http://virusinfo.info/showthread.php?t=16257
http://virusinfo.info/showthread.php?t=18302

Файлы на диске
Имя файла случайное, состоит из трех букв и двух цифр. Например:
C:\WINDOWS\System32\Drivers\Tbi07.sys
C:\WINDOWS\system32\Drivers\Hnr04.sys
размер 24832 байт.

Способ запуска
Драйвер: Tbi07 C:\WINDOWS\System32\Drivers\Tbi07.sys Группа: SCSI Class
(имя драйвера = имя файла)

Внешние проявления
Файл с соответствующем именем с списках "Модули пространства ядра" и
Драйверы.

AndreyKa
13.01.2008, 02:32
Алиасы
BehavesLike:Win32.ExplorerHijack (BitDefender)
Covert.Code (Prevx1)
Mal/Behav-150 (Sophos)
SHeur.ALGN (AVG)
Trj/Agent.HQV (Panda)
Trojan.Agent.dur (CAT-QuickHeal)
W32/Smalltroj.BVJU (Norman)
Win-Trojan/Agent.25600.CY (AhnLab-V3)

Встречен в темах
http://virusinfo.info/showthread.php?t=16229
http://virusinfo.info/showthread.php?t=16236

Файлы на диске
c:\windows\system32\svchost.exe:ext.exe:$DATA
Это альтернативный поток системного файла. Не удаляйте C:\WINDOWS\system32\svchost.exe !!!
25600 байт

Способ запуска
Служба FCI C:\WINDOWS\system32\svchost.exe:ext.exe

Внешние проявления
При сканировании диска AVZ выдает в лог сообщение:
c:\windows\system32\svchost.exe:ext.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла

AndreyKa
13.01.2008, 19:16
Алиасы
Downloader.Generic6.ADBR (AVG)
TR/Dldr.Bensorty.FU.1 (AntiVir)
Trojan.DL.Small.uei (Rising)
Trojan.DownLoader.38509 (DrWeb)
Trojan/Downloader.Bensorty.fu (TheHacker)
Win32/TrojanDownloader.Small.NTQ (NOD32v2)

Встречен в темах
http://virusinfo.info/showthread.php?t=16275
http://virusinfo.info/showthread.php?t=16297

Файлы на диске
C:\WINDOWS\system32\hg543fdg.dll
MD5=19AC498EDA5FEF62437072CABD1540C2
10000 байт

Способ запуска
O2 - BHO: C:\WINNT\system32\hg543fdg.dll - {B2AC49A2-94F3-42BD-F434-2604812C897D} - C:\WINNT\system32\hg543fdg.dll

Внешние проявления
Отсутсвует в логе AVZ, хотя в базе безопасных не значится.

AndreyKa
15.01.2008, 02:17
Переименован в Packed.Win32.Monder.gen, а затем в Trojan.Win32.Monder.gen

Алиасы
AdWare.Virtumonde.djl (Not a Virus) (CAT-QuickHeal)
Adware.Vundo.V.Gen (VirusBuster)
Adware/Virtumonde.bio (TheHacker)
Lop (AVG)
TR/Vundo.dvc.5 (AntiVir)
Troj/Virtum-Gen (Sophos)
Trojan:Win32/Vundo.gen!A (Microsoft)
Trojan.Juan.29 (DrWeb)
Trojan.Win32.Undef.bff (Rising)
W32/Virtumonde.G.gen!Eldorado (F-Prot)

Встречен в темах
http://virusinfo.info/showthread.php?t=16324
http://virusinfo.info/showthread.php?t=16362

Файлы на диске
Файлы dll со случайными именами в папке C:\WINDOWS\system32

Способ запуска
Модуль расширения Internet Explorer BHO
CLSID случайный

Признаки
Модуль dll с подозрительным именем у безопасных процессов таких как:
c:\windows\explorer.exe
c:\windows\system32\lsass.exe
+ соответствующий модуль расширения Internet Explorer BHO

AndreyKa
15.01.2008, 02:47
Алиасы
Proxy.XKA (AVG)
Rkit/Agent.EZ (AntiVir)
Trojan Horse (Symantec)
Trojan.Proxy.Wopla.AO (BitDefender)
TrojanProxy.Wopla.at (CAT-QuickHeal)
Win32:Agent-JBL (Avast)
Win32/TrojanProxy.Wopla.AT (NOD32v2)

Встречен в темах
http://virusinfo.info/showthread.php?t=16250
http://virusinfo.info/showthread.php?t=16334

Файлы на диске
C:\WINDOWS\system32\Drivers\ndisaluo.sys
C:\WINDOWS\system32\Drivers\ntio922.sys
C:\NETHLPR.EXE

Способ запуска
?

Признаки
В пункте 1.3 лога AVZ сообщения:
>>>> Подозрение на RootKit ndisaluo C:\WINDOWS\system32\Drivers\ndisaluo.sys
>>>> Подозрение на RootKit ntio922 C:\WINDOWS\system32\Drivers\ntio922.sys

Зайцев Олег
15.01.2008, 09:18
Признаки
В пункте 1.3 лога AVZ сообщения:
>>>> Подозрение на RootKit ndisaluo C:\WINDOWS\system32\Drivers\ndisaluo.sys
>>>> Подозрение на RootKit ntio922 C:\WINDOWS\system32\Drivers\ntio922.sys
Результаты запроса к моей базе - зловред еще дропает файл C:\NETHLPR.EXE (Trojan-Proxy.Win32.Wopla.at). Идентичное поведение у зловреда Trojan-Proxy.Win32.Wopla.aw. Дроппер зловреда активирует привилегию SeDebugPrivilege, обращается к \Device\PhysicalMemory - такое поведение характерно для зловредов, снимающих хуки драверов защитного ПО.

AndreyKa
16.01.2008, 01:11
Алиасы
Generic9.APEN (AVG)
TR/Fujacks.A.1 (AntiVir)
Trojan.Rox (DrWeb)
Virus:Win32/Xorer.A (Microsoft)
W32.Pagipef.I!inf (Symantec)
W32/Fujacks (McAfee)
W32/Smalltroj.CFJY (Norman)
Win32:Agent-PPS (Avast)

Краткое описание
При запуске создает несколько своих копий, прописывает себя в автозапуск.
Записывает на диск несколько вредоносных файлов, таких как:
Virus.Win32.Xorer.dd
Virus.Win32.Xorer.df
Virus.Win32.Xorer.dp
Копирует себя на съемные диски, прописывая в автозапуск через файл AUTORUN.INF
Судя по наличию в его файле строк с названиями антивирусов, Virus.Win32.Xorer.dr пытается активно противодействовать им.

Встречен в темах
http://virusinfo.info/showthread.php?t=16439

Файлы на диске
c:\pagefile.pif
C:\NetApi00.sys
C:\037589.log
C:\AUTORUN.INF
C:\lsass.exe.48247687.exe
C:\WINDOWS\system32\com\smss.exe
C:\WINDOWS\system32\com\netcfg.000
C:\WINDOWS\system32\com\netcfg.dll
C:\WINDOWS\system32\com\lsass.exe
C:\WINDOWS\system32\dnsq.dll
Некоторые имена случайны.

Способ запуска
1. Прописывает запуск через файл AUTORUN.INF в корне основного и съемных дисков.
2. Записывает свои копии в меню автозапуска:
...\Главное меню\Программы\Автозагрузка\~.exe.49425375.exe
3. O20 - AppInit_DLLs: C:\WINDOWS\system32\dnsq.dll

AndreyKa
17.01.2008, 01:37
Алиасы
BackDoor.Generic_c.AEW (AVG)
Generic.dx (McAfee)
I-Worm.Agent.l (CAT-QuickHeal)
TR/Pandex.L.2 (AntiVir)
Trj/Spammer.ADX (Panda)
Troj/Agent-GDR (Sophos)
Trojan.NtRootKit.360 (DrWeb)
Trojan.Pandex.L (BitDefender)
VirTool:WinNT/Cutwail.D (Microsoft)
W32/Agent.L@mm (Fortinet)
W32/Smallworm.AEH (Norman)
W32/Trojan.BXQV (F-Prot)
Win32:Agent-LNK (Avast)
Win32.Agent.l (eSafe)
Win32/Agent.NBT (NOD32v2)
Win32/Agent.worm.114480 (AhnLab-V3)
Win32/Cutspeer.A (eTrust-Vet)
Worm.Agent.l (Ewido)
Worm.Mail.Win32.Agent.mc (Rising)

Примечание
Появился почти полгода назад. Его знают все антивирусы, но он все еще попадается в диком виде!
Возможна связь с Trojan-Downloader.Win32.Agent.ggt

Встречен в темах
http://virusinfo.info/showthread.php?t=15929
http://virusinfo.info/showthread.php?t=16444
http://virusinfo.info/showthread.php?t=16595
http://virusinfo.info/showthread.php?t=16602
http://virusinfo.info/showthread.php?t=16748
http://virusinfo.info/showthread.php?t=16796

Файлы на диске
C:\WINDOWS\system32\DRIVERS\smtpdrv.sys
18176 байт
MD5=5A5A869F4343A5C4057DA597FFFA3482

Способ запуска
Драйвер smtpdrv C:\WINDOWS\system32\DRIVERS\smtpdrv.sys
Группа: Streams Drivers

AndreyKa
17.01.2008, 02:03
Алиасы
Generic.Zlob.80ABF7BE (BitDefender)
Generic9.AJXX (AVG)
TR/Obfuscated.MP (AntiVir)
Trojan-Downloader.Zlob.Media-Codec (Sunbelt)
Trojan:Win32/Wantvi.D (Microsoft)
Trojan.NtRootKit.612 (DrWeb)
Trojan.Obfuscated.mp (CAT-QuickHeal)
Trojan.Virantix.B (Symantec)
Trojan/Obfuscated.mp (TheHacker)
W32/Obfuscated.MP!tr (Fortinet)
W32/Trojan2.TCK (F-Prot)
Win32.Obfuscated.mp (eSafe)

Встречен в темах
http://virusinfo.info/showthread.php?t=15680
http://virusinfo.info/showthread.php?t=16221
http://virusinfo.info/showthread.php?t=16779

Файлы на диске
C:\WINDOWS\System32\Drivers\Beep.SYS
37888 байт.

Способ запуска
Подменяет собой системный драйвер с таким же именем и запускается вместо него.

AndreyKa
17.01.2008, 22:27
Алиасы
ADSPY/Agent.YW.2 (AntiVir)
Adware Generic2.ZKE (AVG)
AdWare.Agent.yw (Not a Virus) (CAT-QuickHeal)
Adware.Bho (DrWeb)
Not-A-Virus.Adware.Agent (Ewido)

Встречен в темах
http://virusinfo.info/showthread.php?t=16050
http://virusinfo.info/showthread.php?t=16348
http://virusinfo.info/showthread.php?t=16381
http://virusinfo.info/showthread.php?t=18620

Файл на диске
C:\Program Files\ContentSaver\ContentSaver.dll
118784 байт

Способ запуска
C:\Program Files\ContentSaver\ContentSaver.dll BHO {29F340EA-2108-40d0-94A0-62EC2B9EDF59}

Особенности
Можно удалять через Панель управления - Установка/Удаление программ.

AndreyKa
18.01.2008, 01:09
Алиасы
BackDoor.Generic9.MOG (AVG)
Generic RootKit.a (McAfee)
Rkit/Agent.TC (AntiVir)
RootKit.A!tr (Fortinet)
Rootkit.Agent.tc (CAT-QuickHeal)
Rootkit/Lanman.BR (Panda)
Trojan.LanMan (DrWeb)
Trojan/Agent.tc (TheHacker)
VirTool:WinNT/Laqma.A (Microsoft)
W32/Rootkit.CDH (Norman)

Краткое описания
Функционирует как модуль пространства ядра.
Перехватывает несколько функций в KernelMode.
Встречался в паре с c:\windows\system32\lanmanwrk.exe - Trojan.Win32.Agent.dwq

Встречен в темах
http://virusinfo.info/showthread.php?t=12434
http://virusinfo.info/showthread.php?t=16319
http://virusinfo.info/showthread.php?t=16400
http://virusinfo.info/showthread.php?t=16494
http://virusinfo.info/showthread.php?t=17302
http://virusinfo.info/showthread.php?t=17440

Файлы на диске
C:\WINDOWS\System32\lanmandrv.sys
MD5=B5EC5B3E0BC6B26BB05282B65AF90686
5632 байт

Способ запуска
Драйвер: lanmandrv C:\WINDOWS\System32\lanmandrv.sys

AndreyKa
19.01.2008, 23:35
Переименован в Packed.Win32.Monder.gen

Алиасы
AdWare.Virtumonde.dnn (CAT-QuickHeal)
Generic9.AQNO (AVG)
Spyware/Virtumonde (Panda)
TR/Vundo.DWB (AntiVir)
Troj/Virtum-Gen (Sophos)
Trojan.Metajuan (Symantec)
Trojan.Virtumod.260 (DrWeb)
Trojan.Vundo.DWB (BitDefender)
W32/Virtumonde.G.gen!Eldorado (F-Prot)
W32/Virtumonde.JTK (Norman)
Win32/Adware.SecToolbar (NOD32v2)

Описание
Рекламная программа, показывающая всплывающие сообщения.
Функционирует как модуль сразу нескольких процессов.
Встречается вместе с другими представителями семейства AdWare.Win32.Virtumonde.
Экземпляры файлов отличаются друг от друга приписанным в конце файла случайным набором чисел.

Встречен в темах
http://virusinfo.info/showthread.php?t=16362
http://virusinfo.info/showthread.php?t=16466
http://virusinfo.info/showthread.php?t=16496
http://virusinfo.info/showthread.php?t=17108

Файлы на диске
Файл dll со случайным именем из букв в папке C:\WINDOWS\system32
163904 байт

Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\_имя_файла_
+
BHO {A95B2816-1D7E-4561-A202-68C0DE02353A}

AndreyKa
20.01.2008, 01:01
Алиасы
Agent.2.AN (AVG)
Mal/Behav-150 (Sophos)
Trojan.Agent.dxg (Ewido)
Trojan.Spambot.2572 (DrWeb)
Trojan/Agent.dxg (TheHacker)
W32/Agent.DXG!tr (Fortinet)
W32/Smalltroj.CFKI (Norman)
W32/Trojan2.TZE (F-Prot)
Win-Trojan/Agent.25600.DD (AhnLab-V3)
Win32/Obfuscated.NAL (NOD32v2)
Win32/SillyProxy.BQ (eTrust-Vet)

Встречен в темах
http://virusinfo.info/showthread.php?t=16416
http://virusinfo.info/showthread.php?t=16437
http://virusinfo.info/showthread.php?t=16491
http://virusinfo.info/showthread.php?t=16446
http://virusinfo.info/showthread.php?t=16601

Файлы на диске
Может быть как в виде exe файла:
C:\WINDOWS\system32\fci.exe
Так и в виде альтернативного потока системного файла:
C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA
Не удаляйте файл C:\WINDOWS\system32\svchost.exe !!!
25600 байт
MD5=01EA113361CC3ACC160930D8918FC682

Способ запуска
Служба FCI C:\WINDOWS\system32\fci.exe
Группа: TDI

Внешние проявления (со слов пользователей)
Много трафика идет. svchost.exe создает много подключений по SMTP.
Периодически с компьютера отправляют сообщения по электронной почте.

AndreyKa
20.01.2008, 16:24
Алиасы
amvo.exe:
PWS-OnlineGames.a (McAfee)
SHeur.SHW (Prevx1)
Trojan.PWS.OnlineGames.NXF (BitDefender)
W32.Gammima.AG (Symantec)
W32/AutoRun.BDA (Norman)
W32/AutoRun.bnq (TheHacker)
W32/AutoRun.BNQ!worm (Fortinet)
W32/Autorun.LD.worm (Panda)
W32/Worm.LZX (F-Prot)
Win-Trojan/OnlineGameHack.103956 (AhnLab-V3)
Win32:AutoRun-MH (Avast)
Win32.AutoRun.bnq (eSafe)
Win32.HLLW.Autoruner.1020 (DrWeb)
Win32.Packed.NSAnti.r (CAT-QuickHeal)
Win32/Frethog.AGF (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Worm/AutoRun.Y (AVG)
amvo0.dll:
OnlineGames.A!tr.pws (Fortinet)
PWS-OnlineGames.a (McAfee)
Trojan.PWS.OnlineGames.NXF (BitDefender)
Trojan.PWS.Wsgame.2387 (DrWeb)
W32/AutoRun.BDE (Norman)
W32/AutoRun.bnq (TheHacker)
W32/Autorun.LD.worm (Panda)
Win-Trojan/OnlineGameHack.54784.B (AhnLab-V3)
Win32/Frethog.AGF (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)

Встречен в темах
http://virusinfo.info/showthread.php?t=16117
http://virusinfo.info/showthread.php?t=16151
http://virusinfo.info/showthread.php?t=16597

Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
autorun.inf в корневой папке на всех дисках.
В нем прописан файл u.bat (имя файла может быть другим) для автозапуска.
u.bat имеет атрибуты скрытый, системный, только для чтения.
Для сокрытия присутствия используется руткит, работающий в режиме ядра - C:\WINDOWS\system32\wincab.sys Его файл после запуска удаляется с диска.

Способ запуска
1. C:\WINDOWS\system32\amvo.exe Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Прописывает запуск через файл AUTORUN.INF в корне основного и съемных дисков.

Внешние проявления (со слов пользователей)
Не показывает скрытые файлы и папки. Локальные диски открывает в новом окне.

AndreyKa
20.01.2008, 22:23
Алиасы
Win32/Sality.AB (NOD32v2)
Virus:Win32/Sality.AH (Microsoft)
W32.Sality.AB (Symantec)
W32/Kashu.A (AntiVir)
W32/Sality-AM (Sophos)
W32/Sality.ad (McAfee)
W32/Sality.AE (F-Prot)
Win32.Kashu.A (BitDefender)
Win32.Sector.4 (DrWeb)
Win32/Kashu (AhnLab-V3)
Win32/Sality.V (eTrust-Vet)

Описание
Файловый вирус. Распространяется путем заражения исполняемых файлов (.exe и .scr). Пытается загрузить вредоносные файлы через Интернет.
http://www.symantec.com/security_response/writeup.jsp?docid=2008-011120-5334-99 (англ.)

Встречен в темах
http://virusinfo.info/showthread.php?t=16621
и в темах Trojan.Win32.KillAV.ne (http://virusinfo.info/showpost.php?p=168282&postcount=6)

Внешние проявления (со слов пользователей)
Компьютер не может загрузится в Безопасном режиме.
Работа антивирусов нарушается, антивирусы удаляются.

Зайцев Олег
20.01.2008, 22:41
Email-Worm.Win32.Agent.l
...
Возможна связь с Trojan-Downloader.Win32.Agent.ggt

Доп. данные из моих баз - в частности его дропает одноименный зловред Email-Worm.Win32.Agent.l по классификации ЛК. Он создает файл C:\WINDOWS\system32\drivers\smtpdrv.sys (Email-Worm.Win32.Agent.l по ЛК), а также C:\WINDOWS\system32\MailSpectre.exe (Trojan.Win32.Agent.bap по ЛК), после чего регистрирует драйвер под именем smtpdrv и включает в группу "Streams Drivers" - т.е. поведение в точности совпадает с описанным выше. Исполняемый файл данного зловреда, выступающий в роли дроппера, имеет размер 155 кб, программный код написан на C, не зашифрован, дропаемые файлы приписаны в хвост дроппера. Trojan.Win32.Agent.bap в свою очередь в ходе работы обращается к драйверу smtpdrv.sys, что доказывает их взаимосвязь

AndreyKa
21.01.2008, 23:52
Алиасы
Downloader.Agent.AACP (AVG)
PWS:Win32/Zbot (Microsoft)
Trojan-Spy.Win32.Broker.as (Kaspersky)
Trojan.Proxy.2634 (DrWeb)
Trojan.Spy.Broker.N (BitDefender)
Trojan/Spy.Broker.as (TheHacker)
W32/Malware.BOKQ (Norman)

Встречен в темах
http://virusinfo.info/showthread.php?t=16595
http://virusinfo.info/showthread.php?t=16626
http://virusinfo.info/showthread.php?t=16656
http://virusinfo.info/showthread.php?t=16757
http://virusinfo.info/showthread.php?t=16895
http://virusinfo.info/showthread.php?t=17214

Файлы на диске
C:\WINDOWS\system32\ntos.exe

Способ запуска
C:\WINDOWS\system32\ntos.exe
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit

Примечание
Представитель этого семейства с описанием: Trojan-Spy.Win32.Broker.ap (http://virusinfo.info/showpost.php?p=171235&postcount=18)

AndreyKa
22.01.2008, 22:19
Алиасы
BackDoor.Generic9.NNL (AVG)
Rootkit.Agent.ql (CAT-QuickHeal)
Trojan.NtRootKit.511 (DrWeb)
Trojan.Rootkit.Agent.NDW (BitDefender)
VirTool:WinNT/Boaxxe.E (Microsoft)
W32/Rootkit.AHL (F-Prot)
W32/Rootkit.CNC (Norman)
Win32:Agent-PSI (Avast)
Win32/Agent.NOU (NOD32v2)
Win32/Kvol.Q (eTrust-Vet)

Встречен в темах
http://virusinfo.info/showthread.php?t=12434
http://virusinfo.info/showthread.php?t=16594
http://virusinfo.info/showthread.php?t=16667
http://virusinfo.info/showthread.php?t=17254

Файлы на диске
C:\WINDOWS\system32\Drivers\*.dat
* - 8 случайных латинских букв
19456 байт

Способ запуска
Драйвер. Его имя тоже случайное и отличается от имени файла.
Группа: Boot Bus Extender
Работает как Модуль пространства ядра.

AndreyKa
22.01.2008, 22:36
Алиасы
BZub.ARU (Norman)
Generic9.AJIO (AVG)
TR/BHO.agz.21 (AntiVir)
Trj/Downloader.RKS (Panda)
Troj/BHO-EL (Sophos)
Trojan:Win32/Boaxxe.C (Microsoft)
Trojan.Adclicker (Symantec)
Trojan.BHO-1253 (ClamAV)
Trojan.BHO.agz (Ewido)
Trojan.DoS.Win32.Opdos (Prevx1)
Trojan.DownLoader.38058 (DrWeb)
Trojan.Spy.Bzub.NGP (BitDefender)
Trojan/BHO.agz (TheHacker)
W32/BHO.AGZ!tr (Fortinet)
Win32:BHO-KD (Avast)
Win32/BHO.AGZ (NOD32v2)
Win32/Kvol!generic (eTrust-Vet)

Встречен в темах
http://virusinfo.info/showthread.php?t=12434
http://virusinfo.info/showthread.php?t=16189
http://virusinfo.info/showthread.php?t=16667

Файлы на диске
dll файл со случайным именем из латинских букв в папке c:\windows\system32
Встречается вместе с Rootkit.Win32.Agent.tw (см. выше).

Способ запуска
BHO, CLSID - случайный

AndreyKa
25.01.2008, 00:47
Алиасы
amvo.exe
Trj/Wow.SE (Panda)
Trojan.Dropper.OnlineGames.I (BitDefender)
Trojan.MulDrop.6474 (DrWeb)
Trojan.Win32.AVKiller (VBA32)
W32.Gammima.AG (Symantec)
W32/Autorun-AQ (Sophos)
W32/AutoRun.bur (TheHacker)
W32/AutoRun.BUR!worm (Fortinet)
W32/Autorun.worm.bn (McAfee)
W32/Smalltroj.CIGU (Norman)
Win32.Packed.NSAnti.r (CAT-QuickHeal)
Win32/Autorun.worm.104863 (AhnLab-V3)
Win32/Frethog.AGS (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Worm/Generic.FHX (AVG)

eaxbit.dll & amvo0.dll
BHO.CYR, PSW.OnlineGames.ABQN (AVG)
Trj/Wow.SE (Panda)
Trojan.Agent.AGPW, Trojan.PWS.OnlineGames.NYX (BitDefender)
Trojan.Legmir.A (Prevx1)
Trojan.Nsanti.Packed, Trojan.PWS.Wsgame.2387 (DrWeb)
Trojan.Small-1780 (ClamAV)
W32.Gammima.AG (Symantec)
W32/Autorun-AQ (Sophos)
W32/AutoRun.AQ!worm (Fortinet)
W32/AutoRun.bur (TheHacker)
W32/Autorun.worm.bn (McAfee)
W32/Smalltroj.CIGR, W32/Smalltroj.CIUP (Norman)
Win-Trojan/OnlineGameHack.54784.F (AhnLab-V3)
Win32/NSAnti, Win32/VMalum.BUVZ (eTrust-Vet)
Win32/PSW.OnLineGames.NLK, Win32/Rootkit.Vanti.NAI (NOD32v2)
Worm.AutoRun.bur (CAT-QuickHeal)

Описание
Червь распространяющийся копированием самого себя на сменные носители. Похищает пароли к различным интернет-играм.

Встречен в темах
http://virusinfo.info/showthread.php?t=16505
http://virusinfo.info/showthread.php?t=16511
http://virusinfo.info/showthread.php?t=16594

Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
juok3st.bat и autorun.inf в корневой папке на всех дисках.
eaxbit.dll во временной папке.

Способ запуска
1. C:\WINDOWS\system32\amvo.exe Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Прописывает запуск через файл AUTORUN.INF в корне основного и съемных дисков.

Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.

AndreyKa
26.01.2008, 13:38
Алиасы
m1t8ta.com
Trojan.PWS.Wsgame.2387 (DrWeb)
Trojan/PSW.OnLineGames.oob (TheHacker)
TrojanPSW.OnLineGames.oob (CAT-QuickHeal)
W32/AutoInf-H (Sophos)
W32/Lineage.HDR.worm (Panda)
W32/OnLineGames.AIFH (Norman)
W32/OnLineGames.OOB!tr.pws (Fortinet)
Win-Trojan/Autorun.54784 (AhnLab-V3)
Win32/Frethog.AGY (eTrust-Vet)
Win32/PSW.OnLineGames.NLK (NOD32v2)
amvo1.dll
Dropper/Autorun.105525 (AhnLab-V3)
Trojan.MulDrop.6474 (DrWeb)
Trojan.PWS.OnLineGames.OOB (BitDefender)
Trojan/PSW.OnLineGames.oob (TheHacker)
W32/AutoInf-H (Sophos)
W32/Lineage.HDR.worm (Panda)
W32/Smalltroj.CJDR (Norman)
Win32.Packed.NSAnti.r (CAT-QuickHeal)
Win32/Frethog.AGY (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Worm/AutoRun.Y (AVG)

Встречен в темах
http://virusinfo.info/showthread.php?t=16569
http://virusinfo.info/showthread.php?t=16570
http://virusinfo.info/showthread.php?t=16588
http://virusinfo.info/showthread.php?t=16682

Файлы на диске
C:\m1t8ta.com
C:\autorun.inf
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
C:\WINDOWS\system32\amvo.exe
autorun.inf и m1t8ta.com - на всех дисках в корневой папке

Способ запуска
1. Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.

Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.

AndreyKa
27.01.2008, 20:34
Алиасы
BackDoor.Bifrost.526 (DrWeb)
Backdoor.Eterok.C (Symantec)
Generic9.ATJS (AVG)
Mal/Generic-A (Sophos)
TR/Inject.SM (AntiVir)
W32/Inject.SM!tr (Fortinet)
Win32/TrojanProxy.Xorpix.NAE (NOD32v2)

Описание
Внедряется в системный процес Winlogon.
В списке модулей отсутствует.
Запускает процесс iexplore.exe и внедряется в него.
Отрывает BackDoor на случайном порту TCP.
Отправляет этот номер порта на удаленный сервер, ожидает соединения и команды для выполнения.
http://www.symantec.com/security_response/writeup.jsp?docid=2006-061317-0557-99&tabid=2

Встречен в темах
http://virusinfo.info/showthread.php?t=16421
http://virusinfo.info/showthread.php?t=16535
http://virusinfo.info/showthread.php?t=16586
http://virusinfo.info/showthread.php?t=16984
http://virusinfo.info/showthread.php?t=17707

Файлы на диске
C:\Documents and Settings\All Users\Документы\Settings\abc32.dll
%UserProfile%\Local Settings\Temp\arm????.tmp

Способ запуска
C:\Documents and Settings\All Users\Документы\Settings\abc32.dll
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\abc32reg

Зайцев Олег
27.01.2008, 21:21
Файлы на диске
C:\m1t8ta.com
C:\autorun.inf
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
C:\WINDOWS\system32\amvo.exe
autorun.inf и m1t8ta.com - на всех дисках в корневой папке

Способ запуска
1. Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.

Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.
Небольшое дополнение из моей базы: Размер исполняемого файла зловрда 105 кб. Файл amvo.exe в указанном месте создают также Worm.Win32.AutoRun.* (в частности, Worm.Win32.AutoRun.bmz, Worm.Win32.AutoRun.bun, Worm.Win32.AutoRun.bur, Worm.Win32.AutoRun.cag), а также Trojan-PSW.Win32.OnLineGames.* (в частности Trojan-PSW.Win32.OnLineGames.ost, Trojan-PSW.Win32.OnLineGames.ozf, Trojan-PSW.Win32.OnLineGames.pdb, Trojan-PSW.Win32.OnLineGames.pfm, Trojan-PSW.Win32.OnLineGames.pfm, Trojan-PSW.Win32.OnLineGames.pmo).
По поводу зловреда Trojan-PSW.Win32.OnLineGames.oob можно отметить, что он:
1. Создает во временной папке ряд файлов, в частности lb2t87v.dll, uu2c.sys
2. Определяет местоположение IE для того, чтобы запустить его и инжектит в процесс IE троянский код
3. amvo.exe - это копия дроппера зловреда
4. Зловред умеет бороться с антивирусами, в частности реализует классическую атаку на GUI AVP
5. Модифицирует параметры ключа реестра Software\Microsoft\Windows\CurrentVersion\Explorer \Advanced с именами Hidden и ShowSuperHidden, изменяет политику безопасности путем правки реестра - в ключе Software\Microsoft\Windows\CurrentVersion\Policies \Explorer он модифицирует параметр NoDriveTypeAutoRun. Эти изменения реестра защищены от восстановления за счет того, что зловред периодически повторяет их правку
6. Плодит файлы *:\m1t8ta.com и *:\autorun.inf, причем m1t8ta.com - это копия дроппера зловреда.

AndreyKa
27.01.2008, 23:22
Очередной представитель семейства Worm.Win32.AutoRun, имеющего в последние несколько недель широкое распространение.

Алиасы
Trojan.Agent.AGOB (BitDefender)
Trojan.MulDrop.6474 (DrWeb)
W32/AutoRun.bvz (TheHacker)
W32/Lineage.HEF.worm (Panda)
Win32.Packed.NSAnti.r (CAT-QuickHeal)
Win32/Autorun.worm.106174 (AhnLab-V3)
Win32/Frethog.AHE (eTrust-Vet)
Worm/AutoRun.Y (AVG)

Встречен в темах
http://virusinfo.info/showthread.php?t=16594
http://virusinfo.info/showthread.php?t=16682
http://virusinfo.info/showthread.php?t=16795

Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
autorun.inf и xn1i9x.com - на всех дисках в корневой папке

Способ запуска
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.

Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.

AndreyKa
31.01.2008, 08:36
Алиасы
PWS-LegMir.gen.k (McAfee)
Trj/Downloader.SEW (Panda)
Trojan.Agent.AGOT (BitDefender)
Trojan.MulDrop.6474 (DrWeb)
Trojan.PSW.Win32.GameOL.loc (Rising)
W32.Gammima.AG (Symantec)
W32/AutoRun.cas (TheHacker)
W32/Smalltroj.CKQK (Norman)
Win-Trojan/OnlineGameHack.105942 (AhnLab-V3)
Win32/Frethog.AHJ (eTrust-Vet)
Win32/Pacex.Gen (NOD32v2)
Worm/AutoRun.Y (AVG)

Встречен в темах
http://virusinfo.info/showthread.php?t=16670
http://virusinfo.info/showthread.php?t=16746
http://virusinfo.info/showthread.php?t=17038
http://virusinfo.info/showthread.php?t=17164

Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
%Temp%\9ba4xn.dll
autorun.inf и xn1i9x.com - на всех дисках в корневой папке
autorun.inf детектируется как Trojan-PSW.Win32.OnLineGames.pgs

Способ запуска
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.

Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.

Worm.Win32.AutoRun.cag мало чем отличается от Worm.Win32.AutoRun.cas. Он найден в темах:
http://virusinfo.info/showthread.php?t=16675
http://virusinfo.info/showthread.php?t=16865
http://virusinfo.info/showthread.php?t=17160

Отличия в детекте:
W32/AutoRun.CAG!worm (Fortinet)
W32/Lineage.HEF.worm (Panda)
W32/Smalltroj.CKGL (Norman)
Win32:AutoRun-PC (Avast)
Win32/Frethog.AHG (eTrust-Vet)

Дополнительные алиасы для amvo0.dll
Generic.dx (McAfee)
Trojan.PWS.Wsgame.2387 (DrWeb)
W32/AutoRun.BKD (Norman)
W32/Autorun.MY.worm (Panda)
Win-Trojan/OnlineGameHack.54784.R (AhnLab-V3)
Win32:AutoRun-PD (Avast)
Worm.AutoRun.cag (CAT-QuickHeal)

AndreyKa
01.02.2008, 00:04
Ползучая эпидемия продолжается.

Алиасы
Trojan.MulDrop.6474 (DrWeb)
Trojan.PSW.Win32.GameOL.lod (Rising)
Trojan.PWS.Onlinegames.NXQ (BitDefender)
W32.Gammima.AG (Symantec)
W32/AutoRun.cbi (TheHacker)
W32/Autorun.MR.worm (Panda)
W32/Smalltroj.CKWC (Norman)
Win32.AutoRun.cbi (eSafe)
Win32/Frethog.AIG (eTrust-Vet)
Win32/PSW.OnLineGames.MUU (NOD32v2)
Worm/AutoRun.Y (AVG)

Встречен в темах
http://virusinfo.info/showthread.php?t=16742
http://virusinfo.info/showthread.php?t=16985
http://virusinfo.info/showthread.php?t=17095

Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
autorun.inf и qd.cmd - на всех дисках в корневой папке

Способ запуска
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.

Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.

Отличия Worm.Win32.AutoRun.chv
Алиасы
amvo.exe
Dropper/Autorun.104080 (AhnLab-V3)
PWS:Win32/OnLineGames.BL (Microsoft)
Trj/QQPass.BBV (Panda)
Trojan.MulDrop.6474 (DrWeb)
W32/AutoRun.chv (TheHacker)
W32/NSAnti.FZS (Norman)
Win32/Frethog.AJA (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)

Встречен в темах
http://virusinfo.info/showthread.php?t=17324
http://virusinfo.info/showthread.php?t=17382
http://virusinfo.info/showthread.php?t=17635

Файлы на диске
%Temp%\pqub.dll
В корне всех дисков файл h.cmd

Отличия Worm.Win32.AutoRun.cin
Алиасы
amvo.exe
Trojan.Agent.AGTI (BitDefender)
W32/AutoRun.cin (TheHacker)
W32/Downldr2.AXPW (F-Prot)
W32/Lineage.GUF.worm (Panda)
Win-Trojan/Autorun.104644 (AhnLab-V3)
Win32/PSW.OnLineGames.NLI (NOD32v2)
amvo0.dll
Trojan.PWS.Wsgame.2387 (DrWeb)
VirTool:Win32/Obfuscator.T (Microsoft)
W32/NSAnti.GDM (Norman)
Win32/PSW.OnLineGames.NLK (NOD32v2)

Встречен в темах
http://virusinfo.info/showthread.php?t=17457
http://virusinfo.info/showthread.php?t=17474
http://virusinfo.info/showthread.php?t=17631

Файлы на диске
%Temp%\yjyuu.dll
В корне всех дисков файл i.cmd

AndreyKa
01.02.2008, 00:52
Алиасы
Downloader.Agent.AADM (AVG)
Downloader.Agent.hnp (Ewido)
TR/Dldr.Agent.hnp (AntiVir)
Trj/Downloader.SFC (Panda)
Trojan:Win32/Adclicker.AO (Microsoft)
Trojan.Adclicker.GY (BitDefender)
Trojan.BhoSpy (DrWeb)
Trojan.Win32.Undef.cap (Rising)
Trojan/Downloader.Agent.hnp (TheHacker)
TrojanDownloader.Agent.hnp (CAT-QuickHeal)
W32/Agent.EAPT (Norman)
W32/Agent.HNP!tr.dldr (Fortinet)

Встречен в темах
http://virusinfo.info/showthread.php?t=16679
http://virusinfo.info/showthread.php?t=16806
http://virusinfo.info/showthread.php?t=17103
http://virusinfo.info/showthread.php?t=17106
http://virusinfo.info/showthread.php?t=17215
http://virusinfo.info/showthread.php?t=18226
http://virusinfo.info/showthread.php?t=18323

Файлы на диске
C:\WINDOWS\System32\socksys.dll
или
C:\WINDOWS\system32\socketa.dll
25600 байт

Способ запуска
BHO {FFFFFFFF-F538-4f86-ABAF-E9D94D5C007C}

AndreyKa
01.02.2008, 01:14
Алиасы
xo8wr9.exe и amvo.exe
PSW.OnlineGames.ACQL (AVG)
PWS-Mmorpg.gen (McAfee)
Trojan.MulDrop.6474 (DrWeb)
Trojan.PSW.Win32.GameOL.lri (Rising)
Trojan.PWS.OnlineGames.OOV (BitDefender)
Trojan/PSW.OnLineGames.pqm (TheHacker)
W32.Gammima.AG (Symantec)
W32/Lineage.HHP.worm (Panda)
W32/OnLineGames.AJHA (Norman)
Win-Trojan/OnlineGameHack.103781 (AhnLab-V3)
Win32/Frethog.AIK (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)

amvo1.dll
Trojan.PSW.Win32.GameOL.lri (Rising)
Trojan.PWS.OnlineGames.OOV (BitDefender)
Trojan.PWS.Wsgame.2387 (DrWeb)
VB.BHZ (Prevx1)
W32.Gammima.AG (Symantec)
W32/Lineage.HHP.worm (Panda)
Win32/Frethog.AIK (eTrust-Vet)
Win32/PSW.OnLineGames.NLK (NOD32v2)

Встречен в темах
http://virusinfo.info/showthread.php?t=17066
http://virusinfo.info/showthread.php?t=17068
http://virusinfo.info/showthread.php?t=17112
http://virusinfo.info/showthread.php?t=17315

Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
autorun.inf и xo8wr9.exe - на всех дисках в корневой папке

Способ запуска
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.

Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.

AndreyKa
02.02.2008, 23:37
Алиасы
h.cmd и amvo.exe
PWS-LegMir (McAfee)
Trojan.MulDrop.6474 (DrWeb)
W32.Gammima.AG (Symantec)
W32/AutoRun.cgi (TheHacker)
W32/NSAnti.FXO (Norman)
W32/Wow.SI.worm (Panda)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Win32/VMalum.BVDB (eTrust-Vet)
amvo0.dll
PSW.OnlineGames.ADBF (AVG)
Trojan.PWS.Wsgame.2387 (DrWeb)
VB.BHZ (Prevx1)
W32/NSAnti.FXP (Norman)
Win32/PSW.OnLineGames.NLK (NOD32v2)

Описание
Червь распространяющийся копированием самого себя на сменные носители. Похищает пароли к различным интернет-играм.

Встречен в темах
http://virusinfo.info/showthread.php?t=17225
http://virusinfo.info/showthread.php?t=17255
http://virusinfo.info/showthread.php?t=17337
http://virusinfo.info/showthread.php?t=17382
http://virusinfo.info/showthread.php?t=17635

Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll - детектируется как Trojan-PSW.Win32.OnLineGames.pwr
C:\WINDOWS\system32\amvo1.dll
%Temp%\fhf.dll
autorun.inf и h.cmd - на всех дисках в корневой папке

Способ запуска
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.

Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.

AndreyKa
03.02.2008, 23:29
Алиасы
BackDoor.Bulknet.134 (DrWeb)
Downloader.Agent.AAAN (AVG)
Trj/Spammer.ADX (Panda)
Trojan.Downloader-21950 (ClamAV)
Trojan.Downloader.Small.AAKE (BitDefender)
Trojan/Downloader.Agent.hlt (TheHacker)
TrojanDownloader.Agent.hlt (CAT-QuickHeal)
VirTool:WinNT/Cutwail.F (Microsoft)
W32/DLoader.FGTA (Norman)
W32/Emogen.HLT!tr.dldr (Fortinet)
Win-Trojan/SpamMailer.25984 (AhnLab-V3)
Win32.Agent.hlt (eSafe)
Win32/Wigon.AN (NOD32v2)
Worm/Ntech.Z.4 (AntiVir)

Встречен в темах
http://virusinfo.info/showthread.php?t=16595
http://virusinfo.info/showthread.php?t=17099
http://virusinfo.info/showthread.php?t=17458

Файл на диске
Имя состоит из трех случайных букв и двух цифр. Например:
C:\WINDOWS\System32\Drivers\Iot62.sys
C:\WINDOWS\System32\Drivers\Agk37.sys
Размер 25984 байт

Способ запуска
Драйвер: C:\WINDOWS\System32\Drivers\?????.sys
Группа: SCSI Class
Функционирует как модуль пространства ядра.

AndreyKa
05.02.2008, 22:46
Алиасы
TR/Agent.41984.21 (AntiVir)
Trj/Dropper.AAD (Panda)
Troj/Agent-GNA (Sophos)
Trojan.Downloader.Small.AAKR (BitDefender)
Trojan.MulDrop.10872 (DrWeb)
Trojan/Dropper.Agent.dsg (TheHacker)
TrojanDropper.Agent.dsg (CAT-QuickHeal)
VirTool:Win32/Rootkitdrv.BR (Microsoft)
W32/Agent.EAJP (Norman)
Win32:Agent-OLI (Avast)

Описание
Троян с функционалом обмена информацией с удаленным сервером через протокол HTTP.
При первом запуске копирует себя в файлы
%USERPROFILE%\Local Settings\Application Data\ayagbf.exe
%SystemRoot%\System32\drivers\msbzgh.exe
и создает следующие файлы:
%USERPROFILE%\msftp.dll
%SystemRoot%\System32\drivers\sysproc.sys
%SystemRoot%\System32\msftp.dll
Источник: http://www.sophos.com/virusinfo/analyses/trojagentgna.html (анг.)

sysproc.sys детектируется как Rootkit.Win32.Agent.mu
msftp.dll детектируется как Trojan-Downloader.Win32.Small.hwc

Встречен в темах
http://virusinfo.info/showthread.php?t=16816
http://virusinfo.info/showthread.php?t=17179
http://virusinfo.info/showthread.php?t=17495
http://virusinfo.info/showthread.php?t=17513
http://virusinfo.info/showthread.php?t=17522
http://virusinfo.info/showthread.php?t=17540
http://virusinfo.info/showthread.php?t=17548
http://virusinfo.info/showthread.php?t=17685
http://virusinfo.info/showthread.php?t=17856

Способ запуска
1) Служба: Schedule
C:\WINDOWS\system32\drivers\msbzgh.exe
Группа: SchedulerGroup
2) Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, autoload
C:\Documents and Settings\_пользователь_\Local Settings\Application Data\ayagbf.exe

Дополнительные алиасы Trojan-Downloader.Win32.Small.hwc
Downloader.Generic6.AFLG (AVG)
TR/Dldr.Small.hwc (AntiVir)
Trj/Downloader.SIA (Panda)
Trojan.DownLoader.44897 (DrWeb)
TrojanDownloader.Small.hwc (CAT-QuickHeal)
W32/DLoader.FKPZ (Norman)

AndreyKa
05.02.2008, 23:36
Алиасы
Backdoor/Agent.ehg (TheHacker)
Generic9.AXKP (AVG)
Trj/Downloader.SIA (Panda)
Troj/Agent-GNA (Sophos)
Trojan.DownLoader.46268 (DrWeb)
W32/Smalltroj.CQWT (Norman)

Встречен в темах
http://virusinfo.info/showthread.php?t=17495
http://virusinfo.info/showthread.php?t=17513
http://virusinfo.info/showthread.php?t=17522
http://virusinfo.info/showthread.php?t=17540
http://virusinfo.info/showthread.php?t=17548
http://virusinfo.info/showthread.php?t=17919

Файлы на диске
c:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
%USERPROFILE%\Local Settings\Application Data\cftmon.exe
c:\windows\system32\drivers\spool.exe
%UserProfile%\ftpdll.dll
C:\WINDOWS\system32\ftpdll.dll

ftpdll.dll детектируются как Trojan-Downloader.Win32.Small.hwc

Способ запуска
1) Служба: Schedule
Описание: Task Scheduler
C:\WINDOWS\system32\drivers\spool.exe
Группа: SchedulerGroup
2) Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, autoload
C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
3) Ключ реестра HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion \Run, autoload
C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
4) Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, ntuser
C:\WINDOWS\system32\drivers\spools.exe
5) Ключ реестра HKEY_CURRENT_USER,
Software\Microsoft\Windows\CurrentVersion\Run, ntuser
C:\WINDOWS\system32\drivers\spools.exe

Отличия Backdoor.Win32.Agent.eom
Алиасы
Backdoor.Agent.eom (CAT-QuickHeal)
BackDoor.FireOn (DrWeb)
Generic9.BBNJ (AVG)
Troj/Agent-GNA (Sophos)
W32/Agent.EOM!tr.bdr (Fortinet)
W32/Smalltroj.CUKE (Norman)
Win32:Small-JMK (Avast)

Встречен в темах
http://virusinfo.info/showthread.php?t=18156
http://virusinfo.info/showthread.php?t=18234
http://virusinfo.info/showthread.php?t=18273
http://virusinfo.info/showthread.php?t=18275
http://virusinfo.info/showthread.php?t=18294

Отличия Backdoor.Win32.Agent.etc
Алиасы
BACKDOOR.DIMPY.WIN32VBSY.Q (Prevx1)
SHeur.AVFC (AVG)
TR/Dldr.Small.AAKR.12 (AntiVir)
Trojan.Downloader.Small.AAKR (BitDefender)
Win32/TrojanDownloader.Agent.NVF (NOD32v2)

Встречен в темах
http://virusinfo.info/showthread.php?t=18779
http://virusinfo.info/showthread.php?t=18785
http://virusinfo.info/showthread.php?t=18858

AndreyKa
06.02.2008, 23:26
Алиасы
Trojan.MulDrop.6474 (DrWeb)
Trojan/PSW.OnLineGames.qmf (TheHacker)
W32.Gammima.AG (Symantec)
W32/Lineage.HJT.worm (Panda)
W32/NSAnti.GFI (Norman)
Win-Trojan/Autorun.103367 (AhnLab-V3)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Дополнительные алиасы amvo0.dll
PWS-LegMir.gen.k.dll (McAfee)
Trojan.PWS.Wsgame.2387 (DrWeb)
W32/NSAnti.GEK (Norman)
Win-Trojan/Autorun.54784.E (AhnLab-V3)
Win32/PSW.OnLineGames.NLK (NOD32v2)

Встречен в темах
http://virusinfo.info/showthread.php?t=17499
http://virusinfo.info/showthread.php?t=17535
http://virusinfo.info/showthread.php?t=17558
http://virusinfo.info/showthread.php?t=17604
http://virusinfo.info/showthread.php?t=17615
http://virusinfo.info/showthread.php?t=17638
http://virusinfo.info/showthread.php?t=17725
http://virusinfo.info/showthread.php?t=17816
http://virusinfo.info/showthread.php?t=18859

Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
%Temp%\zmcc.dll
autorun.inf и 2ifetri.cmd - на всех дисках в корневой папке

zmcc.dll детектируется как Rootkit.Win32.Agent.yr

Способ запуска
1. C:\WINDOWS\system32\amvo.exe Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Прописывает запуск через файл AUTORUN.INF в корне основного и съемных дисков.

Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.

Отличия Trojan-PSW.Win32.OnLineGames.qpu
Дополнительные алиасы
Trj/lineage.HKP (Panda)
Trojan/PSW.OnLineGames.qpu (TheHacker)
VirTool:Win32/Obfuscator.T (Microsoft)
W32/NSAnti.GFV (Norman)

Встречен в темах
http://virusinfo.info/showthread.php?t=17631
http://virusinfo.info/showthread.php?t=17634
http://virusinfo.info/showthread.php?t=17638
http://virusinfo.info/showthread.php?t=17787
http://virusinfo.info/showthread.php?t=17843
http://virusinfo.info/showthread.php?t=17954

Файлы на диске
%Temp%\em.dll
188qsm.bat в корне каждого диска.

em.dll детектируется как Trojan-PSW.Win32.OnLineGames.qou

Отличия Trojan-PSW.Win32.OnLineGames.qso
Дополнительные алиасы
Trj/Lineage.HLA (Panda)
Trojan/PSW.OnLineGames.qso (TheHacker)
W32/NSAnti.GGB (Norman)
Win-Trojan/OnlineGameHack.103404 (AhnLab-V3)
Win32/Frethog.AKC (eTrust-Vet)
amvo0.dll:
Trojan.Spy-23738 (ClamAV)
TrojanPSW.OnLineGames.qso (CAT-QuickHeal)
W32/NSAnti.GGA (Norman)
Win32/Frethog.AKH (eTrust-Vet)

Встречен в темах
http://virusinfo.info/showthread.php?t=17635
http://virusinfo.info/showthread.php?t=17665
http://virusinfo.info/showthread.php?t=17913
http://virusinfo.info/showthread.php?t=18577

Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
%Temp%\y5o.dll
autorun.inf и x.com - на всех дисках в корневой папке

AndreyKa
09.02.2008, 17:44
Алиасы
DNSChanger.K (AVG)
Trojan.DNSChanger.BX (BitDefender)
Win32.Trojan.DNSChanger.aum (CAT-QuickHeal)

Описание
Завершает процессы антивирусов. Внедряет свой код в память системных процессов. Сам в списке работающих программ отсутствует.

Встречен в темах
http://virusinfo.info/showthread.php?t=16595
http://virusinfo.info/showthread.php?t=16621
http://virusinfo.info/showthread.php?t=17684
http://virusinfo.info/showthread.php?t=17998
http://virusinfo.info/showthread.php?t=18026

Файлы на диске
Файл в папке C:\WINDOWS\system32 со случайным именем из 5 латинских букв, например:
C:\WINDOWS\system32\kdbzh.exe
C:\WINDOWS\system32\kdhpy.exe
C:\WINDOWS\system32\kdecb.exe
76800 байт

Способ запуска
kd???.exe
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, System

AndreyKa
09.02.2008, 19:54
Алиасы
Adware Generic2.AAXY (AVG)
Adware.BitAcc (DrWeb)
Adware/LinkOptimizer (Panda)
Troj/Dropper-RY (Sophos)
TROJAN.VB.RY (Prevx1)

Встречен в темах
http://virusinfo.info/showthread.php?t=17540
http://virusinfo.info/showthread.php?t=17710
http://virusinfo.info/showthread.php?t=17767
http://virusinfo.info/showthread.php?t=18518
http://virusinfo.info/showthread.php?t=18570
http://virusinfo.info/showthread.php?t=18620
http://virusinfo.info/showthread.php?t=18755

Файлы на диске
C:\Program Files\ConnectionServices\ConnectionServices.dll
420352 байт

Способ запуска
C:\Program Files\ConnectionServices\ConnectionServices.dll
BHO {6D7B211A-88EA-490c-BAB9-3600D8D7C503}

AndreyKa
10.02.2008, 21:41
Алиасы
Agent.NMR (AVG)
TR/Agent.edu.2 (AntiVir)
Trojan.Agent-12855 (ClamAV)
Trojan.Agent.AGKK (BitDefender)
Trojan.Agent.dyo (CAT-QuickHeal)
Trojan.DoS.Win32.Opdos (Prevx1)
Trojan.Okuks (DrWeb)
Trojan/Agent.edu (TheHacker)
W32/Agent.EDQY (Norman)
W32/Agent.EDU!tr (Fortinet)

Встречен в темах
http://virusinfo.info/showthread.php?t=16830
http://virusinfo.info/showthread.php?t=16981
http://virusinfo.info/showthread.php?t=17670
http://virusinfo.info/showthread.php?t=17808
http://virusinfo.info/showthread.php?t=18791

Файлы на диске
Файл со случайным именем (base*32.dll) в папке C:\WINDOWS\system32, например:
C:\WINDOWS\system32\baseqhnjm32.dll
C:\WINDOWS\system32\baseoaera32.dll
C:\WINDOWS\system32\basemqai32.dll
C:\WINDOWS\system32\baseqxkha32.dll
24576 байт

Способ запуска
Прописывает свой автозапуск в реестре оригинальным способом, в ключе Windows раздела [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems].
Так что при удалениии файла компьютер не может загрузиться в любом режиме.

Примечание
Антивирус DrWeb (CureIt!) может либо "вылечить" троянскую библиотеку, чтобы она загружалась, но была безвредной, либо удалить, исправив при этом реестр.
Антивирус Касперского может корректно удалить трояна.
Но возможны проблемы из-за того, что постоянно появляются новые модификации.

AndreyKa
12.02.2008, 23:26
Алиасы
TR/Dldr.Small.iih.1 (AntiVir)
Trojan.DownLoader.46268 (DrWeb)
TrojanDownloader.Small.iih (CAT-QuickHeal)
W32/Small.IIH!tr.dldr (Fortinet)

Встречен в темах
http://virusinfo.info/showthread.php?t=17685
http://virusinfo.info/showthread.php?t=17853
http://virusinfo.info/showthread.php?t=17856
http://virusinfo.info/showthread.php?t=17865
http://virusinfo.info/showthread.php?t=18347
http://virusinfo.info/showthread.php?t=18609

Файлы на диске
c:\windows\system32\drivers\spool.exe
%USERPROFILE%\local settings\application data\cftmon.exe
%System%\msftp.dll - детектируется как Trojan-Downloader.Win32.Small.hwc

Способ запуска
%USERPROFILE%\Local Settings\Application Data\cftmon.exe
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, autoload
C:\WINDOWS\system32\drivers\spool.exe
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, ntuser

AndreyKa
13.02.2008, 23:56
Алиасы
Adware.Virtumonde-587 (ClamAV)
AdWare.Virtumonde.dnn (CAT-QuickHeal)
AdWare.Win32.Agent.zpb (Rising)
Lop (AVG)
Spyware/Virtumonde (Panda)
TR/Vundo.DWB (AntiVir)
Troj/Virtum-Gen (Sophos)
Trojan-Downloader.Win32.ConHook.gen (Sunbelt)
Trojan:Win32/Vundo.X (Microsoft)
Trojan.Metajuan (Symantec)
Trojan.Virtumod.260 (DrWeb)
Trojan.Vundo.DWB (BitDefender)
Vundo.gen56 (F-Secure)
W32/Virtumonde.PM (F-Prot)
Win32:TratBHO (Avast)
Win32/Adware.SecToolbar (NOD32v2)

Описание
Устанавливается вредоносными программами или скачивается с вредоносных сайтов с использованием эксплойтов для Internet Explorer.
Функционирует как модуль системных процессов winlogon.exe, lsass.exe и др.
Завершает работу антивирусных программ. Скачивает программы из Интернета.
Показывает рекламу при посещении определенных веб-сайтов.
Источники:
http://www.sophos.com/virusinfo/analyses/trojvirtumgen.html
http://www.symantec.com/security_response/writeup.jsp?docid=2007-030112-0714-99&tabid=2 (анг.)

Встречен в темах
http://virusinfo.info/showthread.php?t=16155
http://virusinfo.info/showthread.php?t=16324
http://virusinfo.info/showthread.php?t=16346
http://virusinfo.info/showthread.php?t=16362
http://virusinfo.info/showthread.php?t=16496
http://virusinfo.info/showthread.php?t=16840
http://virusinfo.info/showthread.php?t=17466
http://virusinfo.info/showthread.php?t=17710
http://virusinfo.info/showthread.php?t=17785
http://virusinfo.info/showthread.php?t=17953
http://virusinfo.info/showthread.php?t=17974
http://virusinfo.info/showthread.php?t=17985
http://virusinfo.info/showthread.php?t=18159
http://virusinfo.info/showthread.php?t=18295
http://virusinfo.info/showthread.php?t=18839

Файлы на диске
dll файл со случайным именем из латинских букв в папке C:\WINDOWS\system32
Например:
C:\WINDOWS\system32\utqgukka.dll
C:\WINDOWS\System32\mllmj.dll

Способ запуска
BHO, CLSID случайный.

Зайцев Олег
14.02.2008, 19:43
Ползучая эпидемия продолжается.

Я добавил в AVZ эвристику для детекта описанных выше зверей семейства Worm.Win32.AutoRun.*, обновление баз с этой фичей выйдет завтра

AndreyKa
16.02.2008, 12:50
Алиасы
PSW.Generic5.AIDA (AVG)
Rootkit/Spammer.AGA (Panda)
Spy-Agent.bv (McAfee)
Troj/Pushu-Gen (Sophos)
Trojan-Downloader.Agent.ZAR (Sunbelt)
Trojan.Downloader-22556 (ClamAV)
Trojan.Nudos (Prevx1)
Trojan.Pandex.AD (BitDefender)
Trojan.Rntm (DrWeb)
Trojan/Downloader.Agent.ici (TheHacker)
VirTool:WinNT/Cutwail.F (Microsoft)
W32/Agent.EETK (Norman)
W32/Agent.ZAR!tr.dldr (Fortinet)
Win-Trojan/Agent.25472 (AhnLab-V3)
Win32/Wigon.AV (NOD32v2)
Worm.Ntech.sd (CAT-QuickHeal)
Worm/Ntech.Z.4 (AntiVir)

Описание
Прописывет себя в реестр для повторного запуска.
Загружает вредоносные программы из сети Интернет и устанавливает их на компьютер.
Понижает уровень защиты системы безопасности.
Функционирует как модуль пространства ядра.
http://www.sophos.com/virusinfo/analyses/trojpushugen.html (анг.)

Встречен в темах
http://virusinfo.info/showthread.php?t=17454
http://virusinfo.info/showthread.php?t=17707
http://virusinfo.info/showthread.php?t=17882

Файлы на диске
sys файл в папке C:\WINDOWS\System32\Drivers со случайным именем из трех латинских букв и двух цифр. Например:
C:\WINDOWS\System32\Drivers\Nsf45.sys
C:\WINXP\system32\Drivers\Vch17.sys

Способ запуска
Драйвер с именем как у файла.
Группа: SCSI Class

Внешние проявления (со слов пользователей)
Процесс svchost.exe постоянно требует связи с разнообразными адресами.

AndreyKa
16.02.2008, 18:14
Алиасы
Agent.NHU (AVG)
Backdoor:WinNT/Nuwar.D!sys (Microsoft)
Proxy.Agent.xo (Ewido)
TR/Proxy.Agent.XO (AntiVir)
Trj/Spammer.AFM (Panda)
Troj/Tibs-TX (Sophos)
Trojan.Peed.IUO (BitDefender)
Trojan.Proxy-2401 (ClamAV)
Trojan.Spambot.2887 (DrWeb)
Trojan.Win32.Undef.cft (Rising)
Trojan/Proxy.Agent.xo (TheHacker)
TrojanProxy.Agent.xo (CAT-QuickHeal)
W32/Agent.XO!tr (Fortinet)
W32/Tibs.BIGD (Norman)
Win32/TrojanProxy.Agent.XH (NOD32v2)

Описание
Работает в паре с вредоносным файлом taskmon.exe
Отключает антивирусы.

Встречен в темах
http://virusinfo.info/showthread.php?t=17587
http://virusinfo.info/showthread.php?t=17830
http://virusinfo.info/showthread.php?t=18026
http://virusinfo.info/showthread.php?t=19417

Файлы на диске
C:\WINDOWS\system32\taskmon.sys
18368 байт

Способ запуска
Драйвер: taskmon.sys

AndreyKa
16.02.2008, 19:34
Алиасы
Generic5.NVS (AVG)
Hacktool.Rootkit (Symantec)
NTRootKit-J (McAfee)
Rootkit/Agysteo.Q (Panda)
TR/Agent.asu.1 (AntiVir)
Troj/NtRootK-CA (Sophos)
Trojan.Agent-7047 (ClamAV)
Trojan.Agent.ABGK (BitDefender)
Trojan.Agent.asu (Ewido)
Trojan.NtRootKit.312 (DrWeb)
TROJAN.ROOTKIT.L (Prevx1)
Trojan.Win32.Agent.tsn (Rising)
Trojan/Agent.asu (TheHacker)
VirTool:WinNT/Smallrk.F (Microsoft)
W32/Agent.ASU!tr (Fortinet)
W32/Agent.BXAD (Norman)
W32/Trojan.BKOF (F-Prot)
Win-Trojan/Rootkit.7923 (AhnLab-V3)
Win32:Agent-KDC (Avast)
Win32.Agent.asu (eSafe)
Win32/Fledib.A (eTrust-Vet)
Win32/Rootkit.Agent.NCR (NOD32v2)

Описание
Функционирует как модуль пространства ядра.
Перехватывает Функции ядра. Используется другими вредоносными программами для сокрытия своего присутствия в системе.

Встречен в темах
http://virusinfo.info/showthread.php?t=16768
http://virusinfo.info/showthread.php?t=17755
http://virusinfo.info/showthread.php?t=18009
http://virusinfo.info/showthread.php?t=19212

Файлы на диске
C:\WINDOWS\system32\DefLib.sys
7923 байт.

AndreyKa
16.02.2008, 21:22
Алиасы
a variant of Win32/TrojanDownloader.Tiny.NJ (NOD32v2)
Downloader.Generic6.AIIC (AVG)
Trj/Downloader.SOQ (Panda)
Trojan-Downloader.Small.AAJM (Sunbelt)
Trojan.DownLoader.47222 (DrWeb)
Trojan.Downloader.Small.AAJM (BitDefender)
Trojan/Downloader.Small.gen (TheHacker)
TrojanDownloader:Win32/Tipikit.B (Microsoft)
TrojanDownloader.Winlagons.a (CAT-QuickHeal)
Win-Trojan/Downloader.6144.ND (AhnLab-V3)

Описание
При запуске создает и запускает службу "Google Online Search Service" для копии своего файла.
Прописывает также службу в ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 для предотвращения своего удаления выбором последней удачной конфигурации при запуске Windows.
Скачивает с домена bulletproofstuff.com файл с ссылками на вредоносные файлы. На данный момент по этим ссылкам (сайты 58.65.239.42 и 0ci.ru) находятся:
Trojan-Proxy.Win32.Xorpix.cu
Trojan-Proxy.Win32.Saturn.al
Trojan-Downloader.Win32.Small.cib
Email-Worm.Win32.Zhelatin.vg
Trojan.Win32.Small.afy
Trojan-Downloader.Win32.Agent.jea
AdWare.Win32.BHO.aaw

Встречен в темах
http://virusinfo.info/showthread.php?t=17998
http://virusinfo.info/showthread.php?t=17999
http://virusinfo.info/showthread.php?t=18014

Файлы на диске
%UserProfile%\ie_updates3r.exe
c:\windows\system32\winlagons.exe
6144 байт

Способ запуска
Служба: Google Online Search Service
Описание: Google Online Search Service
C:\WINDOWS\system32\winlagons.exe

AndreyKa
16.02.2008, 22:04
Алиасы
Downloader.Generic_c.ML (AVG)
TR/Agent.eub.1 (AntiVir)
Trj/Agent.IAB (Panda)
Troj/Agent-GPK (Sophos)
Trojan.Agent.AGVF (BitDefender)
Trojan.Agent.eub.1 (Webwasher-Gateway)
Trojan.DL.Wigon.Gen.6 (VirusBuster)
Trojan.DoS.Win32.Opdos (Prevx1)
Trojan.DownLoader.46414 (DrWeb)
Trojan/Agent.eub (TheHacker)
W32/Agent.EGFQ (Norman)
W32/Agent.EUB!tr (Fortinet)

Встречен в темах
http://virusinfo.info/showthread.php?t=17853
http://virusinfo.info/showthread.php?t=17882
http://virusinfo.info/showthread.php?t=18014
http://virusinfo.info/showthread.php?t=18064
http://virusinfo.info/showthread.php?t=18174
http://virusinfo.info/showthread.php?t=18832
http://virusinfo.info/showthread.php?t=19295

Файлы на диске
C:\WINDOWS\system32\LogCrypt.dll
8704 байт

Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\LogCrypt,
DLLName LogCrypt.dll

AndreyKa
17.02.2008, 11:46
Алиасы
TR/Agent.fdn (AntiVir)
Trojan.Agent.fdn (CAT-QuickHeal)
Trojan.Small-5027 (ClamAV)
Trojan.Spambot.2384 (DrWeb)
W32/Agent.FDN!tr (Fortinet)
Win32/TrojanProxy.Small.NAR (NOD32v2)
Дополнительные алиасы для Trojan-Dropper.Win32.Agent.elj
TR/Drop.Agent.elj (AntiVir)
Trojan.Drop.Agent.elj (Webwasher-Gateway)
Trojan.Dropper.Rootkit.NBR (BitDefender)
Trojan/Dropper.Agent.elj (TheHacker)
TrojanDropper.Agent.elj (CAT-QuickHeal)
W32/Agent.ELJ!tr (Fortinet)
Дополнительные алиасы для Trojan.Win32.Buzus.lj
LdPinch.STT (Norman)
Trojan.Agent-11935 (ClamAV)
Trojan.Agent.dvf (CAT-QuickHeal)
Trojan.DL.Win32.Agent.bxw (Rising)
Trojan.Packed.147 (DrWeb)
Trojan.PSW.LdPinch.AKX (BitDefender)
Trojan.Win32.Agent.dvf (VBA32)
Trojan/Agent.dvf (TheHacker)
W32/Agent.DVF!tr (Fortinet)
Win-Trojan/Buzus.42496 (AhnLab-V3)

Описание
Имеет возможности отправки email по протоколу SMTP.
Внедряет програмный код в процесс explorer.exe
Устанавливает в систему вредоносный драйвер режима ядра (Trojan.Win32.Agent.asu)

Trojan.Win32.Agent.fdn встречен в темах
http://virusinfo.info/showthread.php?t=17817
http://virusinfo.info/showthread.php?t=17865
http://virusinfo.info/showthread.php?t=18034
Trojan-Dropper.Win32.Agent.elj:
http://virusinfo.info/showthread.php?t=17998
http://virusinfo.info/showthread.php?t=18014
http://virusinfo.info/showthread.php?t=18074
Trojan.Win32.Buzus.lj:
http://virusinfo.info/showthread.php?t=16358
http://virusinfo.info/showthread.php?t=17164
http://virusinfo.info/showthread.php?t=18172

Trojan-Proxy.Win32.Agent.xp:
Алиасы
Backdoor.Win32.Small.lu (Sunbelt)
Generic9.AULI (AVG)
NTRootKit-J (McAfee)
Proxy.Agent.xp (Ewido)
Trojan.Packed.147 (DrWeb)
Trojan.Proxy-2376 (ClamAV)
Trojan/Proxy.Agent.xp (TheHacker)
TrojanProxy.Agent.xp (CAT-QuickHeal)
Virus:Win32/Grum.E (Microsoft)
W32/Agent.ECZC (Norman)
Win-Trojan/OnlineGameHack.35840.E (AhnLab-V3)
Win32:Agent-SMZ (Avast)
Win32.Agent.xp (eSafe)
Встречен в темах
http://virusinfo.info/showthread.php?t=17220
http://virusinfo.info/showthread.php?t=17315
http://virusinfo.info/showthread.php?t=18694

Файлы на диске
%UserProfile%\Local Settings\Temp\winlogon.exe
39424 байт или 42496 байт для Trojan.Win32.Buzus.lj
Может распологатся в другом месте, там куда указывает переменная %Temp%
Создает файл:
C:\Windows\System32\DefLib.sys - детектируется как Trojan.Win32.Agent.asu

Способ запуска
Ключ реестра HKEY_CURRENT_USER,
Software\Microsoft\Windows\CurrentVersion\Run,
Firewall auto setup

AndreyKa
17.02.2008, 14:05
Алиасы
PWS-LegMir.gen.k (McAfee)
PWS:Win32/OnLineGames.CSE (Microsoft)
Trojan.Autorun-193 (ClamAV)
Trojan.MulDrop.6474 (DrWeb)
W32/AutoRun.BPK (Norman)
W32/AutoRun.cmc (TheHacker)
W32/Lineage.HLY.worm (Panda)
Win32/Frethog.AKM (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)

Описание
Червь распространяющийся копированием самого себя на сменные носители. Похищает пароли к различным интернет-играм.

Встречен в темах
http://virusinfo.info/showthread.php?t=17164
http://virusinfo.info/showthread.php?t=17920
http://virusinfo.info/showthread.php?t=18057
http://virusinfo.info/showthread.php?t=18081
http://virusinfo.info/showthread.php?t=19149

Файлы на диске
C:\0hct8ybw.bat
C:\autorun.inf
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
C:\WINDOWS\system32\amvo.exe
%Temp%\i2ir.dll
autorun.inf и 0hct8ybw.bat - на всех дисках в корневой папке

Способ запуска
1. Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.

Отличия Trojan-PSW.Win32.OnLineGames.rbj
Дополнительные алиасы для Trojan-PSW.Win32.OnLineGames.rbj
Trj/Lineage.HMG (Panda)
Trojan/PSW.OnLineGames.rbj (TheHacker)
VirTool:Win32/Obfuscator.T (Microsoft)
W32/NSAnti.GJA (Norman)
Win32/Frethog.AKR (eTrust-Vet)
amvo0.dll
Trojan.PWS.Wsgame.2387 (DrWeb)
TrojanPSW.OnLineGames.rbj (CAT-QuickHeal)
W32.Gammima.AG (Symantec)
W32/OnLineGames.AKLI (Norman)
Win32/PSW.OnLineGames.NLK (NOD32v2)

Встречен в темах
http://virusinfo.info/showthread.php?t=18057
http://virusinfo.info/showthread.php?t=18102
http://virusinfo.info/showthread.php?t=18157

Файлы на диске
C:\x.com
%Temp%\dsr8q.dll
autorun.inf детектируется как Worm.Win32.AutoRun.cnw

Отличия Trojan-PSW.Win32.OnLineGames.rbj
Дополнительные алиасы для Worm.Win32.AutoRun.cpq
Mal/EncPk-CE (Sophos)
Trojan.Lineage.Gen!Pac.3 (VirusBuster)
Trojan.PSW.Win32.GamesOnline.nm (Rising)
W32/NSAnti.GNC (Norman)
Worm/Generic.FYT (AVG)
amvo0.dll
Trojan.PWS.Wsgame.3434 (DrWeb)
W32/NSAnti.GNE (Norman)
Win32/PSW.OnLineGames.NMP (NOD32v2)

Встречен в темах
http://virusinfo.info/showthread.php?t=15961
http://virusinfo.info/showthread.php?t=18321
http://virusinfo.info/showthread.php?t=18438

Файлы на диске
C:\gumkrhf.bat
%Temp%\l4rq2a7.dll

Trojan-PSW.Win32.OnLineGames.rmm
Встречен в темах
http://virusinfo.info/showthread.php?t=18321
http://virusinfo.info/showthread.php?t=18384
http://virusinfo.info/showthread.php?t=18449

Файлы на диске
C:\oufddh.exe

Trojan-PSW.Win32.OnLineGames.qip
Встречен в темах
http://virusinfo.info/showthread.php?t=17382
http://virusinfo.info/showthread.php?t=17455
http://virusinfo.info/showthread.php?t=18439

Файлы на диске
C:\h.cmd

Trojan-PSW.Win32.OnLineGames.rpy
Встречен в темах
http://virusinfo.info/showthread.php?t=18504
http://virusinfo.info/showthread.php?t=18514
http://virusinfo.info/showthread.php?t=18516
http://virusinfo.info/showthread.php?t=18646

Файлы на диске
C:\oufddh.exe

AndreyKa
20.02.2008, 17:01
Алиасы
Backdoor.SDBot.DFCV (BitDefender)
Lop.BG (Prevx1)
Trojan.DownLoader.38518 (DrWeb)
TrojanDownloader.Small.ilt (CAT-QuickHeal)

Встречен в темах
http://virusinfo.info/showthread.php?t=18156
http://virusinfo.info/showthread.php?t=18234
http://virusinfo.info/showthread.php?t=18294
http://virusinfo.info/showthread.php?t=18445
http://virusinfo.info/showthread.php?t=18473
http://virusinfo.info/showthread.php?t=19174

Файлы на диске
C:\WINDOWS\system32\sysfldr.dll
14336 байт

Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sysfldr, DLLName
sysfldr.dll

AndreyKa
23.02.2008, 22:17
Алиасы
Bck/Spambot.G (Panda)
Generic9.AZND (AVG)
TR/Dldr.Agent.jgt (AntiVir)
Trojan.Agent.6144.156 (Webwasher-Gateway)
Trojan.DownLoader.38520 (DrWeb)
Trojan/Downloader.Agent.jgt (TheHacker)
TrojanDownloader.Agent.jgt (CAT-QuickHeal)
W32/Malware.CCAM (Norman)

Встречен в темах
http://virusinfo.info/showthread.php?t=18262
http://virusinfo.info/showthread.php?t=18343
http://virusinfo.info/showthread.php?t=18483
http://virusinfo.info/showthread.php?t=19545

Файлы на диске
exe файл в временной папке, имя начинается с win и заканчивается несколькими случайными латинскими буквами. Например:
C:\DOCUME~1\user\LOCALS~1\Temp\wineuje.exe

Способ запуска
Ключ реестра HKEY_CURRENT_USER,
Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell
"Explorer.exe "C:\DOCUME~1\user\LOCALS~1\Temp\win????.exe""

AndreyKa
24.02.2008, 06:15
Алиасы
BackDoor.Generic9.EFP (AVG)
Rkit/Agent.DQ.31.A (AntiVir)
Rootkit.Agent.DQ.31.A (Webwasher-Gateway)
Rootkit.Agent.DQ.A (Sunbelt)
Rootkit.Agent.pr (Ewido)
Rootkit.Pandex.Gen.2 (VirusBuster)
Rootkit.Win32.Agent.pr (VBA32)
Rootkit/Agent.HML (Panda)
Troj/Agent-GIS (Sophos)
Trojan.Kobcka.BE (BitDefender)
Trojan.NtRootKit.497 (DrWeb)
Trojan.Pandex (Symantec)
Trojan.Rootkit-286 (ClamAV)
Trojan.Win32.Undef.cz (Rising)
Trojan/Agent.pr (TheHacker)
VirTool:WinNT/Cutwail.C (Microsoft)
W32/Pushu.PR!tr (Fortinet)
W32/Smalltroj.CDMZ (Norman)
Win-Trojan/Rootkit.7680.F (AhnLab-V3)
Win32:Agent-NJB (Avast)
Win32/Cutwail!generic (eTrust-Vet)
Win32/Rootkit.Agent.DP (NOD32v2)

Встречен в темах
http://virusinfo.info/showthread.php?t=16089
http://virusinfo.info/showthread.php?t=17685
http://virusinfo.info/showthread.php?t=17707
http://virusinfo.info/showthread.php?t=18506
http://virusinfo.info/showthread.php?t=18694
http://virusinfo.info/showthread.php?t=18937
http://virusinfo.info/showthread.php?t=19580

Файлы на диске
C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
29056 байт
Файл трояна заменяет собой существующий системный файл.

Способ запуска
Драйвер.
Описание: Драйвер брандмауэра Windows для IPv6
C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys

AndreyKa
25.02.2008, 20:36
Алиасы
BackDoor.Generic9.OBZ (AVG)
Generic.dx (McAfee)
Infostealer.Ldpinch.C (Symantec)
Rkit/Agent.VN (AntiVir)
Rootkit.Agent.vn (Ewido)
Trojan.NtRootKit.815 (DrWeb)
Trojan/Agent.vn (TheHacker)
VirTool:WinNT/Chksyn.A (Microsoft)
W32/Agent.VN!tr.rkit (Fortinet)
W32/Rootkit.CQB (Norman)

Встречен в темах
http://virusinfo.info/showthread.php?t=17885
http://virusinfo.info/showthread.php?t=18538
http://virusinfo.info/showthread.php?t=18609

Файлы на диске
C:\Program Files\Common Files\System\winmgt32k.dll
и
C:\Program Files\Common Files\System\sysvideo32.dll
2816 байт

Способ запуска
Драйвер с именем как у файла: winmgt32k или sysvideo32
Функционирует как модуль пространства ядра.

Примечание
Детектируется AVZ, но при сканировании со стандартными настройками не удаляется:


3. Сканирование дисков
C:\Program Files\Common Files\System\sysvideo32.dll >>>>> Rootkit.Win32.Agent.vn удаление запрещено настройкой

Зайцев Олег
26.02.2008, 22:35
Trojan-Downloader.Win32.Diehard.dr
....
Файлы на диске
C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
29056 байт
Файл трояна заменяет собой существующий системный файл.

Способ запуска
Драйвер.
Описание: Драйвер брандмауэра Windows для IPv6
C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
Данные из моей базы: такой подменненный файл может также детектироваться как Rootkit.Win32.Agent.pr, Rootkit.Win32.Agent.dp, Trojan-Downloader.Win32.Agent.acl.

AndreyKa
01.03.2008, 13:16
Описание
Ворует логины и пароли.
Trojan-Spy.Win32.Goldun.wp содержит список доменов с антивирусных компаний (видимо для блокирования обновлений антивирусов).
Rootkit.Win32.Agent.abc содержит строку avz.exe, то есть пытается противодействовать лечению с помощью этой утилиты.

Встречены в темах
http://virusinfo.info/showthread.php?t=18297
http://virusinfo.info/showthread.php?t=18340
http://virusinfo.info/showthread.php?t=18672

Алиасы Trojan-Spy.Win32.Goldun.wp
Generic.Malware.SFYdlwdld.08A1552D (BitDefender)
Generic9.BCLQ (AVG)
Logger.Goldun.wp (Ewido)
TR/Agent.22441 (AntiVir)
Trj/ProxyServer.BA (Panda)
Trojan.Agent.22441 (Webwasher-Gateway)
Trojan.PWS.GoldSpy (DrWeb)
Trojan/Spy.Goldun.wp (TheHacker)
TrojanSpy:Win32/Goldun.gen!dll (Microsoft)
TrojanSpy.Goldun.wp (CAT-QuickHeal)
Win-Trojan/Goldun.22441 (AhnLab-V3)
Win32/Spy.Goldun.WP (NOD32v2)

Файлы на диске
C:\WINDOWS\system32\alcomt.dll
22441 байт

Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\alcomt, DLLName

Алиасы Rootkit.Win32.Agent.abc
BackDoor.Generic9.UNZ (AVG)
Rootkit.Agent.abc (CAT-QuickHeal)
Trj/ProxyServer.BA (Panda)
Trojan/Agent.abc (TheHacker)
VirTool:WinNT/HideDrv.gen!A (Microsoft)
W32/Goldun.gen3 (F-Prot)
W32/Rootkit.DJX (Norman)
Win32/Spy.Goldun.WP (NOD32v2)

Файлы на диске
C:\WINDOWS\system32\alcom.sys
8416 байт

Способ запуска
Драйвер: alcom
Описание: ALcom server
C:\WINDOWS\system32\alcom.sys

Внешние проявления (со слов пользователей)
В нормальном режиме антивирусы не запускаются.
В нормальном режиме не виден сам avz.exe.

AndreyKa
01.03.2008, 15:17
Алиасы
BZub.ARU (Norman)
Downloader.Delf.12.AK (AVG)
TR/BHO.agz.9 (AntiVir)
Trj/Downloader.RKS (Panda)
Troj/BHO-EL (Sophos)
Trojan-Spy.Bzub.NGP (Sunbelt)
Trojan:Win32/Boaxxe.C (Microsoft)
Trojan.BHO-1189 (ClamAV)
Trojan.BHO.agz (Ewido)
Trojan.DownLoader.38058 (DrWeb)
Trojan.Spy.Bzub.NGP (BitDefender)
Trojan/BHO.agz (TheHacker)
W32/BHO.AGZ!tr (Fortinet)
Win32: Pakes-AKM (Avast)
Win32/BHO.AGZ (NOD32v2)

Встречен в темах
http://virusinfo.info/showthread.php?t=18332
http://virusinfo.info/showthread.php?t=18438
http://virusinfo.info/showthread.php?t=18773
http://virusinfo.info/showthread.php?t=19073
http://virusinfo.info/showthread.php?t=19298

Файлы на диске
dll файл в системной папке с различными именами, например:
c:\windows\system32\iassvc.dll
c:\windows\system32\adsld.dll
C:\WINDOWS\system32\asycfil.dll
C:\WINDOWS\system32\appmg.dll

Способ запуска
BHO, CLSID случайный.

AndreyKa
01.03.2008, 20:36
Алиасы
Backdoor.Agent.eqw (CAT-QuickHeal)
BackDoor.Agent.QTQ (AVG)
Generic BackDoor.t (McAfee)
Generic.Malware.SFYdlwdld.800CFBB7 (BitDefender)
TR/Agent.22447 (AntiVir)
Trojan.PWS.GoldSpy (DrWeb)
W32/Agent.EIZE (Norman)

Встречен в темах
http://virusinfo.info/showthread.php?t=18530
http://virusinfo.info/showthread.php?t=18779
http://virusinfo.info/showthread.php?t=18867
http://virusinfo.info/showthread.php?t=19022
http://virusinfo.info/showthread.php?t=19407

Файлы на диске
C:\WINDOWS\system32\mplink.dll
22447 байт
Создает папку install_temp_318
Устанавливает в систему драйвер fprot.sys - Rootkit.Win32.Agent.abo

Способ запуска
1. Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mplink, DLLName
mplink.dll
2. Драйвер fprot
C:\WINDOWS\system32\fprot.sys
Описание: FT StarForce Protector

Внешние проявления (со слов пользователей)
Когда запускаешь любой .EXE или .RAR файл создается папка install_temp_318 в этой дериктории откуда запускается файл.
При распаковке AVZ, в папке куда распаковывал в норм режиме нету exe файла, в безопасном есть.

AndreyKa
01.03.2008, 23:25
Алиасы
Email-Worm.Win32.Warezov.et (Sunbelt)
I-Worm.Warezov.et (CAT-QuickHeal)
I-Worm/Stration.BOC (AVG)
W32.HLLP.Sality (Symantec)
W32/Sality-AD (Sophos)
W32/Sality.AF (F-Prot)
W32/Sality.dll (McAfee)
W32/Sality.Y (Panda)
W32/Saltiy.S (AntiVir)
W32/Stration.EFZ (Norman)
W32/Stration.ET@mm (Fortinet)
W32/Warezov.et (TheHacker)
Win-Trojan/Sality.40960 (AhnLab-V3)
Win32:KillAV-CP (Avast)
Win32.Sality.m (Rising)
Win32.Sector.28682 (DrWeb)
Win32.Warezov.ET@mm (BitDefender)
Win32/Sality.NAM (NOD32v2)
Win32/Sality.S (eTrust-Vet)
Worm:Win32/Sality.T.dll (Microsoft)
Worm.Stration.XR-1 (ClamAV)
Worm.Warezov.et (Ewido)
Дополнительные алиасы драйвера
Generic3.KXG (AVG)
TR/Drop.Warezov.A.1 (AntiVir)
Trojan.Ipsof (DrWeb)
Trojan/Sality.s (TheHacker)
VirTool:Win32/Rootkit.C (Microsoft)
W32/Rootkit.D!tr (Fortinet)
W32/Sality.W (Norman)
W32/Sality.X.drp (Panda)
Win-Trojan/Sality.5477 (AhnLab-V3)
Win32.Warezov.96 (BitDefender)
Worm.Sality.s (CAT-QuickHeal)

Описание
Файловый вирус заражет файлы с расширениями .EXE и .SCR. Записывает нажимаемые пользователем клавиши. Затем отправляет эти записи по электронной почте.

Встречен в темах
http://virusinfo.info/showthread.php?t=17573
http://virusinfo.info/showthread.php?t=18343
http://virusinfo.info/showthread.php?t=18854
http://virusinfo.info/showthread.php?t=19369
http://virusinfo.info/showthread.php?t=19545

Файлы на диске
Заражает выполняемые файлы. Кроме этого создает свои:
c:\windows\system32\wmdrtc32.dll
40960 байт
C:\WINDOWS\system32\drivers\_случайное_имя_.sys
5477 байт

Способ запуска
1. Через зараженный файл.
2. Драйвер: NdisFileServices32
Описание: NdisFileServices32
C:\WINDOWS\system32\drivers\_случайное_имя_.sys

Внешние проявления (со слов пользователей)
Нарушается работа антивирусных програм, их файлы удаляются. Доступ к сайтам антивирусных компаний заблокирован.

AndreyKa
02.03.2008, 19:28
Алиасы
Generic9.BELN (AVG)
Hoax.Renos.awn (CAT-QuickHeal)
Troj/Agent-GQQ (Sophos)
Trojan.Fakealert.438 (DrWeb)
Trojan.FakeAlert.PZ (BitDefender)
Win32/Adware.SpyKillerPro (NOD32v2)

Встречен в темах
http://virusinfo.info/showthread.php?t=18791
http://virusinfo.info/showthread.php?t=18899
http://virusinfo.info/showthread.php?t=18949
http://virusinfo.info/showthread.php?t=18950
http://virusinfo.info/showthread.php?t=19121

Файлы на диске
%Temp%\~~install.dll
13312 байт

Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \SharedTaskScheduler,
CLSID: {24E31EA9-FCE2-404F-BD80-20543565D946}

Внешние проявления (со слов пользователей)
Сообщения о том, что компьютер заражен Trojan.SpyAgent.Da

AndreyKa
02.03.2008, 22:01
Алиасы
Generic9.APXO (AVG)
TR/Zapchast.DT.1 (AntiVir)
Trj/ZapChast.DO (Panda)
Trojan.Starter.341 (DrWeb)
Trojan.Zachpast-37 (ClamAV)
Trojan/Zapchast.dt (TheHacker)
W32/Zapchast.BEC (Norman)
W32/Zapchast.DT!tr (Fortinet)
W32/Zapchast.K (F-Prot)
Win-Trojan/Zapchast.7168.C (AhnLab-V3)

Встречен в темах
http://virusinfo.info/showthread.php?t=17710
http://virusinfo.info/showthread.php?t=18194
http://virusinfo.info/showthread.php?t=18962
http://virusinfo.info/showthread.php?t=19004

Файлы на диске
C:\WINDOWS\System32\windows
файл с именем без расширения 7168 байт

Способ запуска
Служба: MSControlService
Описание: Microsoft cache control
Файл: C:\WINDOWS\System32\windows

AndreyKa
02.03.2008, 22:38
Алиасы
Trojan.DownLoader.49451 (DrWeb)
TrojanDropper:Win32/Cutwail.Y (Microsoft)

Встречен в темах
http://virusinfo.info/showthread.php?t=18937
http://virusinfo.info/showthread.php?t=18982
http://virusinfo.info/showthread.php?t=18986
http://virusinfo.info/showthread.php?t=19023

Файлы на диске
C:\WINDOWS\system32\WLCtrl32.dll
11776 байт

Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32, DLLName
WLCtrl32.dll

AndreyKa
02.03.2008, 23:17
Алиасы
BackDoor.Generic9.FHC (AVG)
Rootkit.Agent.px (Ewido)
Troj/RKAgen-Fam (Sophos)
Trojan:Win32/Srizbi.gen (Microsoft)
Trojan.Rootkit-264 (ClamAV)
Trojan.Sentinel (DrWeb)
Trojan.Srizbi (Symantec)
Trojan/Agent.px (TheHacker)
W32/RKAgen.PX!tr.rkit (Fortinet)
W32/Rootkit.AVX (Norman)
Win-Trojan/RootKit.185344 (AhnLab-V3)
Win32:Srizbi (Avast)
Win32/Rootkit.Agent.HU (NOD32v2)

Описание
Функционирует как драйвер пространства ядра.
Запускается и в безопасном режиме. Успешно маскируется от AVZ - отсутствует в списке установленных драйверов.

Встречен в темах
http://virusinfo.info/showthread.php?t=16257
http://virusinfo.info/showthread.php?t=17455
http://virusinfo.info/showthread.php?t=18940
http://virusinfo.info/showthread.php?t=18999

Файлы на диске
Файл с расширением sys и случайным именем из 3-4х латинских букв и двух цифр в папке c:\windows\system32\drivers
Например: c:\windows\system32\drivers\Cprk72.sys
185344 байт

Способ запуска
Драйвер.

Внешние проявления (со слов пользователей)
При подключении к сети через пару минут начинает быстро уходить трафик, в обе стороны, но от меня раза в 2-3 больше.

AndreyKa
04.03.2008, 23:03
Алиасы
BackDoor.Generic9.EAP (AVG)
Rootkit.Agent.pq (Ewido)
Rootkit.Win32.Agent. (eSafe)
Spy-Agent.bv.sys (McAfee)
Troj/RKRun-Gen (Sophos)
Trojan:WinNT/Cutwail.A!sys (Microsoft)
Trojan.Kobcka.AY (BitDefender)
Trojan.NtRootKit.496 (DrWeb)
Trojan.Pandex (Symantec)
Trojan.Rootkit-256 (ClamAV)
Trojan/Agent.pn (TheHacker)
W32/Agent.PN!tr.rkit (Fortinet)
W32/Rootkit.AIO (F-Prot)
Win32:Small-EPJ (Avast)
Win32/Rootkit.Agent.EY (NOD32v2)

Описание
Функционирует как модуль пространства ядра.
Встречается вместе с трояном C:\WINDOWS\Temp\startdrv.exe

Встречен в темах
http://virusinfo.info/showthread.php?t=16270
http://virusinfo.info/showthread.php?t=18506
http://virusinfo.info/showthread.php?t=18706

Файлы на диске
C:\WINDOWS\system32\drivers\runtime2.sys
C:\WINDOWS\system32\drivers\ctl_w32.sys

Способ запуска
Драйвер: runtime2
C:\WINDOWS\system32\drivers\runtime2.sys
драйвер ctl_w32.sys среди установленных не замечен.

AndreyKa
06.03.2008, 23:49
Алиасы
Mal/EncPk-BW (Sophos)
Proxy.DRI (Prevx1)
VirTool:Win32/Obfuscator.C (Microsoft)
W32/Feebs.dr (McAfee)
W32/Feebs.LO.worm (Panda)
W32/Feebs.nj (TheHacker)
W32.Feebs@mm (Symantec)
W32/Smalltroj.CTKS (Norman)
Win-Trojan/Agent.45324 (AhnLab-V3)
Win32.HLLM.Graz (DrWeb)
Win32.Worm.Feebs.NN (BitDefender)
Win32/Mocalo.EU (NOD32v2)
Worm.Feebs.nj (CAT-QuickHeal)
Worm/Feebs.JS (AVG)
Win32/VMalum.BWGJ (eTrust-Vet)
Worm.Feebs-88 (ClamAV)

Описание
Почтовый червь из этого семейства: Worm.Win32.Feebs.h (http://www.viruslist.com/ru/viruses/encyclopedia?virusid=107701)

Встречен в темах
http://virusinfo.info/showthread.php?t=18041
http://virusinfo.info/showthread.php?t=18340
http://virusinfo.info/showthread.php?t=18832

Файлы на диске
dll И exe файл в системной папке со случайным именем начинающимся на ms, например:
c:\windows\system32\mspe.exe
c:\windows\system32\msuq32.dll

Способ запуска
1. Active Setup
Файл: c:\windows\system32\ms??.exe
CLSID случайный
2. Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\ShellSer viceObjectDelayLoad,
Файл: ms????.dll

Внешние проявления (со слов пользователей)
"слетел" установленный DrWeb, при попытке запустить установку инсталлятор закрывается.
При попытке запуска AVZ - его окно появляется и тут же исчезает.

AndreyKa
09.03.2008, 22:55
Алиасы
Cutwail.dll (McAfee)
Downloader.Agent.ADET (AVG)
TR/Dldr.Agent.kif.9 (AntiVir)
Trojan.Pandex (Symantec)
Trojan.Win32.Undef.dqm (Rising)
Trojan/Downloader.Agent.kif (TheHacker)
TrojanDownloader.Agent.kif (CAT-QuickHeal)
TrojanDropper:Win32/Cutwail.Y (Microsoft)
W32/Agent.KIF!tr.dldr (Fortinet)
Win-Trojan/OnlineGameHack.11776.R (AhnLab-V3)

Встречен в темах
http://virusinfo.info/showthread.php?t=19097
http://virusinfo.info/showthread.php?t=19121
http://virusinfo.info/showthread.php?t=19189
http://virusinfo.info/showthread.php?t=19204
http://virusinfo.info/showthread.php?t=19223
http://virusinfo.info/showthread.php?t=19253
http://virusinfo.info/showthread.php?t=19295
http://virusinfo.info/showthread.php?t=19474
http://virusinfo.info/showthread.php?t=19849
http://virusinfo.info/showthread.php?t=20020
http://virusinfo.info/showthread.php?t=20030
http://virusinfo.info/showthread.php?t=20091

Файлы на диске
C:\WINDOWS\system32\WLCtrl32.dll
11776 байт

Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32, DLLName
WLCtrl32.dll

Отличия Trojan-Downloader.Win32.Agent.ldb
Алиасы
Downloader.Agent.ADJW (AVG)
TR/Dldr.Agent.ldb.12 (AntiVir)
Trojan.DL.Win32.Paiman.a (Rising)
Trojan.Dldr.Agent.ldb.12 (Webwasher-Gateway)
Trojan.DownLoader.50037 (DrWeb)
Trojan.DR.Pandex.Gen.4 (VirusBuster)
Trojan/Downloader.Agent.ldb (TheHacker)
TrojanDownloader.Agent.ldb (CAT-QuickHeal)
TrojanDropper:Win32/Cutwail.Y (Microsoft)
W32/Agent.dam (Norman)
W32/Agent.LDB!tr.dldr (Fortinet)
Win32/Wigon.BA (NOD32v2)
http://www.virustotal.com/ru/analisis/8caac1bed7492331da3d2ba667afdea1

Встречен в темах
http://virusinfo.info/showthread.php?t=19006
http://virusinfo.info/showthread.php?t=19726
http://virusinfo.info/showthread.php?t=19776
http://virusinfo.info/showthread.php?t=19786
http://virusinfo.info/showthread.php?t=19817
http://virusinfo.info/showthread.php?t=19858
http://virusinfo.info/showthread.php?t=19910

AndreyKa
10.03.2008, 18:29
Алиасы
a variant of Win32/Spy.Agent.NFB (NOD32v2)
Mal/Proxy-B (Sophos)
PSW.Generic5.ALAY (AVG)
Spammer:Win32/Newacc.A (Microsoft)
TR/Agent.39936.31 (AntiVir)
Trojan-Spy.Win32.Agent.bll (Kaspersky)
Trojan.Agent.39 (CAT-QuickHeal)
Trojan.Hotreg (DrWeb)
Trojan.Win32.Undef.dpc (Rising)
Trojan/Spy.Agent.bll (TheHacker)
W32/Agent.EKVA (Norman)
Win32/VMalum.BXRS (eTrust-Vet)

Описание
Пытается войти на сайт http://login.live.com/
Обращается к сайту http://www.google.com/

Встречен в темах
http://virusinfo.info/showthread.php?t=19097
http://virusinfo.info/showthread.php?t=19189
http://virusinfo.info/showthread.php?t=19295
http://virusinfo.info/showthread.php?t=19474

Файлы на диске
Файл со случайным именем bn?.tmp в папке c:\windows\temp
Например, c:\windows\temp\bna.tmp
39936 байт

AndreyKa
10.03.2008, 21:02
Алиасы
PSW.OnlineGames.AFDW (AVG)
PWS-LegMir.gen.k (McAfee)
Trojan.MulDrop.6474 (DrWeb)
Trojan.PSW.Win32.GameOLSys.gp (Rising)
Trojan.PWS.OnlineGames.QZU (BitDefender)
Trojan/PSW.OnLineGames.ryg (TheHacker)
VirTool:Win32/Obfuscator.T (Microsoft)
W32.Gammima.AG (Symantec)
W32/Lineage.HPX.worm (Panda)
W32/OnLineGames.RYG!tr.pws (Fortinet)
W32/Smalltroj.CXLD (Norman)
Win32/Frethog.ALU (eTrust-Vet)
Win32/PSW.OnLineGames.NMT (NOD32v2)
amvo0.dll
PSW.OnlineGames.AFDX (AVG)
PWS-LegMir.gen.k.dll (McAfee)
Trj/Lineage.HQA (Panda)
Trojan.PSW.Win32.GameOLSys.gp (Rising)
Trojan.PWS.OnlineGames.QZU (BitDefender)
Trojan.PWS.Wsgame.3434 (DrWeb)
TrojanPSW.OnLineGames.ryg (CAT-QuickHeal)
W32/OnLineGames.ALCY (Norman)
W32/PWS!be7d (F-Prot)

Описание
Червь распространяющийся копированием самого себя на сменные носители. Похищает пароли к различным интернет-играм.

Встречен в темах
http://virusinfo.info/showthread.php?t=18758
http://virusinfo.info/showthread.php?t=18853
http://virusinfo.info/showthread.php?t=19048
http://virusinfo.info/showthread.php?t=19092
http://virusinfo.info/showthread.php?t=19149
http://virusinfo.info/showthread.php?t=19350

Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo1.dll
autorun.inf и u2.cmd - на всех дисках в корневой папке

Способ запуска
1. Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.

Отличия Trojan-PSW.Win32.OnLineGames.tya
Алиасы
Trj/Lineage.HUC (Panda)
Trojan.PWS.OnlineGames.SQS (BitDefender)
TrojanPSW.OnLineGames.tya (CAT-QuickHeal)
Win32/PSW.OnLineGames.NMP (NOD32v2)
http://www.virustotal.com/ru/analisis/d44cba69aa5ddaf41c53e81c52d22d2a

Встречен в темах
http://virusinfo.info/showthread.php?t=19579
http://virusinfo.info/showthread.php?t=19608
http://virusinfo.info/showthread.php?t=19648
http://virusinfo.info/showthread.php?t=19715
http://virusinfo.info/showthread.php?t=19799

Файлы на диске
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
72192 байт

Отличия Trojan-PSW.Win32.OnLineGames.rin
Алиасы
Infostealer.Gampass (Symantec)
Trj/Lineage.HNG (Panda)
Trojan.PSW.Win32.GameOLSys.en (Rising)
Trojan.PWS.Wsgame.2387 (DrWeb)
TrojanPSW.OnLineGames.rin (CAT-QuickHeal)
VB.BHZ (Prevx1)
W32/NSAnti.GLV (Norman)
W32/Onlinegames.AZG (F-Prot)
W32/OnLineGamesEncPK.fam!tr.pws (Fortinet)
Win32: Onlinegames-CAZ (Avast)
Win32/PSW.OnLineGames.NLK (NOD32v2)
Worm:Win32/Taterf.D (Microsoft)
http://www.virustotal.com/ru/analisis/22c8b552ffe5fa199c12560ea3912c1f

Встречен в темах
http://virusinfo.info/showthread.php?t=15961
http://virusinfo.info/showthread.php?t=18270
http://virusinfo.info/showthread.php?t=18810
http://virusinfo.info/showthread.php?t=19141
http://virusinfo.info/showthread.php?t=19962

Файлы на диске
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
54784 байт

AndreyKa
12.03.2008, 22:11
Алиасы
Agent.OSL (AVG)
TR/Agent.fiw (AntiVir)
Trj/Spammer.AGG (Panda)
Trojan.Agent.AGZD (BitDefender)
Trojan.Agent.fiw (CAT-QuickHeal)
W32/Agent.FIW!tr (Fortinet)
W32/Trojan2.VJU (F-Prot)

Описание
Модуль пространства ядра.
Имеет возможности отправки сообщений электронной почты.

Встречен в темах
http://virusinfo.info/showthread.php?t=18863
http://virusinfo.info/showthread.php?t=18986
http://virusinfo.info/showthread.php?t=19407
http://virusinfo.info/showthread.php?t=19690
http://virusinfo.info/showthread.php?t=20168

Файлы на диске
C:\WINDOWS\system32\powermgmt.sys
46592 байт

Способ запуска
Драйвер: AdvPowerMgmt
Описание: Advanced Power Management
Файл: C:\WINDOWS\system32\powermgmt.sys

AndreyKa
12.03.2008, 23:03
Алиасы
Downloader.Agent.ADGB (AVG)
TR/Dldr.Agent.kvg.5 (AntiVir)
Trojan.Dldr.Agent.kvg.5 (Webwasher-Gateway)
Trojan.DownLoader.50037 (DrWeb)
Trojan.DR.Pandex.Gen.4 (VirusBuster)
Trojan.Pandex.AH (BitDefender)
Trojan.Win32.Undef.dvc (Rising)
TrojanDownloader.Agent.kvg (CAT-QuickHeal)
TrojanDropper:Win32/Cutwail.Y (Microsoft)
W32/Agent.KVG!tr.dldr (Fortinet)
Win-Trojan/Downloader.11776.FQ (AhnLab-V3)

Встречен в темах
http://virusinfo.info/showthread.php?t=19393
http://virusinfo.info/showthread.php?t=19405
http://virusinfo.info/showthread.php?t=19408
http://virusinfo.info/showthread.php?t=19438
http://virusinfo.info/showthread.php?t=19488
http://virusinfo.info/showthread.php?t=19492
http://virusinfo.info/showthread.php?t=19578
http://virusinfo.info/showthread.php?t=19584
http://virusinfo.info/showthread.php?t=19602

Файлы на диске
C:\WINDOWS\system32\WLCtrl32.dll
11776 байт

Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32, DLLName
WLCtrl32.dll

Внешние проявления (со слов пользователей)
Большой интернет-трафик.

Отличия Trojan-Downloader.Win32.Agent.luo
Алиасы
Downloader.Agent.ADQQ (AVG)
TR/Dldr.Agent.luo.8 (AntiVir)
Trojan.Dldr.Agent.luo.8 (Webwasher-Gateway)
Trojan.DR.Pandex.Gen.4 (VirusBuster)
Trojan.Dropper.Cutwail.B (BitDefender)
TrojanDropper:Win32/Cutwail.Y (Microsoft)
http://www.virustotal.com/ru/analisis/7e6267477ec43fc82c0f67cac71e8fe3

Встречен в темах
http://virusinfo.info/showthread.php?t=20200
http://virusinfo.info/showthread.php?t=20202
http://virusinfo.info/showthread.php?t=20230
http://virusinfo.info/showthread.php?t=20246
http://virusinfo.info/showthread.php?t=20247
http://virusinfo.info/showthread.php?t=20263
http://virusinfo.info/showthread.php?t=20275
http://virusinfo.info/showthread.php?t=20276
http://virusinfo.info/showthread.php?t=20343
http://virusinfo.info/showthread.php?t=20457

AndreyKa
13.03.2008, 00:42
Алиасы
SHeur.AVLX (AVG)
TR/Dldr.Small.ipy.1 (AntiVir)
Trj/Downloader.SVU (Panda)
Troj/Agent-GNA (Sophos)
Trojan.Dldr.Small.ipy.1 (Webwasher-Gateway)
Trojan.DownLoader.49367 (DrWeb)
Trojan.Downloader.Small.AAKR (BitDefender)
Trojan.Win32.Undef.dls (Rising)
Trojan.Zlob.GLG (VirusBuster)
Trojan/Downloader.Small.ipy (TheHacker)
TrojanDownloader.Small.ipy (CAT-QuickHeal)
W32/DLoader.FQPL (Norman)
Win-Trojan/Downloader.47000 (AhnLab-V3)
Win32:Small-JMK (Avast)
Win32/Ruternam.B (eTrust-Vet)
Win32/TrojanDownloader.Agent.NVX (NOD32v2)

Встречен в темах
http://virusinfo.info/showthread.php?t=18842
http://virusinfo.info/showthread.php?t=19035
http://virusinfo.info/showthread.php?t=19417
http://virusinfo.info/showthread.php?t=19557

Файлы на диске
%UserProfile%\local settings\application data\cftmon.exe
C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
c:\windows\system32\drivers\spools.exe
c:\windows\system32\ftpdll.dll - Trojan-Downloader.Win32.Small.hwc
Возможно наличие autorun.exe в корне сменного диска.

Способ запуска
1) Служба: Schedule
Описание: Планировщик заданий
C:\WINDOWS\system32\drivers\spool.exe
Группа: SchedulerGroup
2) Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, autoload
C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe

AndreyKa
15.03.2008, 12:44
Алиасы
BackDoor.Mbot (DrWeb)
DNSChanger.G (AVG)
Trojan:Win32/Alureon.gen!D (Microsoft)
Trojan.DNSChanger-3010 (ClamAV)
Trojan.DNSChanger.Gen!Pac.13 (VirusBuster)
Trojan.DNSChanger.RP (BitDefender)
Trojan.Packed.7 (Symantec)
W32/DNSChanger.AFEN (Norman)
W32/DNSChanger.APN!tr (Fortinet)
W32/Trojan2.ADFA (F-Prot)
Win32.Trojan.DNSChanger.apn (CAT-QuickHeal)
Win32.TrojanDownloader.Zlob.BMQ (NOD32v2)

Описание
Внедряет свой код в другие процессы, в списке выполняемых отсутствует.
Блокирует доступ к своему файлу:

Прямое чтение C:\WINDOWS\system32\kdrpy.exe

Внесен в базы 10 января.

Встречен в темах
http://virusinfo.info/showthread.php?t=18638
http://virusinfo.info/showthread.php?t=19006
http://virusinfo.info/showthread.php?t=19417
http://virusinfo.info/showthread.php?t=19469
http://virusinfo.info/showthread.php?t=19530
http://virusinfo.info/showthread.php?t=19945
http://virusinfo.info/showthread.php?t=20037
http://virusinfo.info/showthread.php?t=20113
http://virusinfo.info/showthread.php?t=20796

Файлы на диске
В папке C:\WINDOWS\system32 exe файл со случайным именем, начинающемся с kd, например:
C:\WINDOWS\system32\kdiwc.exe
C:\WINDOWS\system32\kdzko.exe

Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, System
kd???.exe

Внешние проявления (со слов пользователей)
Со страниц поисковиков и из адресной строки перенаправляет на другие сайты.

AndreyKa
15.03.2008, 14:04
Алиасы
DeepScan:Generic.Malware.SYddld!!.62250B64 (BitDefender)
Downloader.Generic6.AFSF (AVG)
TR/Dldr.Small.hyi (AntiVir)
Trojan.DL.Small.ADKD (VirusBuster)
Trojan.Dldr.Small.hyi (Webwasher-Gateway)
Trojan.Downloader-22662 (ClamAV)
Trojan.DownLoader.45364 (DrWeb)
Trojan/Downloader.Small.hyi (TheHacker)
TrojanDownloader.Small.hyi (CAT-QuickHeal)
W32/DLoader.FKTQ (Norman)
W32/Downldr2.AZOS (F-Prot)
W32/Small.HYI!tr.dldr (Fortinet)
Win-Trojan/Downloader.5632.FZ (AhnLab-V3)

Описание
Прописывает себя в автозапуск.
Вносит себя как имеющее доступ приложение в настройки Брандмауэра Windows.
Отключает режим автономной работы в Internet Explorer.
Пытается загрузить файлы с сайта sbapodremer.biz (в нестоящее время не доступен).
Добавлен в базы 27 января.

Встречен в темах
http://virusinfo.info/showthread.php?t=17033
http://virusinfo.info/showthread.php?t=17034
http://virusinfo.info/showthread.php?t=18854
http://virusinfo.info/showthread.php?t=19545

Файлы на диске
exe файл во временной папке со случайным именем, начинающемся с win, например:
c:\temp\wincpkwg.exe
c:\docume~1\admini~1\locals~1\temp\winlxrn.exe
5632 байт

Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, IpSec
%Temp%\win*.exe
%Temp% - временная папка.
* - несколько латинских букв.

AndreyKa
15.03.2008, 15:58
Алиасы
Adware.UltimateX-89 (ClamAV)
Aplicacion/UltimateDefender.cm (TheHacker)
BackDoor.Ntrootkit.X (AVG)
FakeAlert-C.dr (McAfee)
FraudTool.UltimateDefender.cm (CAT-QuickHeal)
Rootkit/Nurech.BC (Panda)
TR/Agent.34304.19 (AntiVir)
Trojan.Agent.34304.19 (Webwasher-Gateway)
Trojan.Fakealert.458 (DrWeb)
VirTool:WinNT/Xantvi.A (Microsoft)
Win32:Agent-QNI (Avast)
Win32/Eldycow!generic (eTrust-Vet)
http://www.virustotal.com/ru/analisis/463f98d8df3844ad692f97aec641caaa

Встречен в темах
http://virusinfo.info/showthread.php?t=19388
http://virusinfo.info/showthread.php?t=19389
http://virusinfo.info/showthread.php?t=19435
http://virusinfo.info/showthread.php?t=19551
http://virusinfo.info/showthread.php?t=20023

Файлы на диске
C:\WINDOWS\System32\Drivers\Beep.SYS

Способ запуска
Подменяет собой системный драйвер с таким же именем и запускается вместо него.

Внешние проявления (со слов пользователей)
Блокирует запуск avz, hijackthis и др. антивирусных программ, но это решаемо сменой имени файлов.

Зайцев Олег
15.03.2008, 16:19
Алиасы
Adware.UltimateX-89 (ClamAV)
Aplicacion/UltimateDefender.cm (TheHacker)
BackDoor.Ntrootkit.X (AVG)
FakeAlert-C.dr (McAfee)
FraudTool.UltimateDefender.cm (CAT-QuickHeal)
Rootkit/Nurech.BC (Panda)
TR/Agent.34304.19 (AntiVir)
Trojan.Agent.34304.19 (Webwasher-Gateway)
Trojan.Fakealert.458 (DrWeb)
VirTool:WinNT/Xantvi.A (Microsoft)
Win32:Agent-QNI (Avast)
Win32/Eldycow!generic (eTrust-Vet)
http://www.virustotal.com/ru/analisis/463f98d8df3844ad692f97aec641caaa

Встречен в темах
http://virusinfo.info/showthread.php?t=19388
http://virusinfo.info/showthread.php?t=19389
http://virusinfo.info/showthread.php?t=19435
http://virusinfo.info/showthread.php?t=19551

Файлы на диске
C:\WINDOWS\System32\Drivers\Beep.SYS

Способ запуска
Подменяет собой системный драйвер с таким же именем и запускается вместо него.

Внешние проявления (со слов пользователей)
Блокирует запуск avz, hijackthis и др. антивирусных программ, но это решаемо сменой имени файлов.
Я пробил данный экспонат по базе анализатора, он был отловлен и изучен 5.03.2008. Он состоит из дроппера, который в случае запуска создает на диске C:\WINDOWS\system32\dllcache\figaro.sys. Затем он копирует figaro.sys поверх существующего C:\WINDOWS\system32\drivers\beep.sys, причем повторяет эту операцию три раза подряд (видимо для надежности, в том числе создавая копию в \dllcache). После этого он создает на диске C:\WINDOWS\system32\braviax.exe, и прописывает его в автозапуск в ключе Windows\CurrentVersion\Run. Затем он запрашивает системную привилегию SeShutdownPrivilege и при помощи системной функции ExitWindowsEx завершает работу системы. Далее он создает файл с именем delself.bat для самоуничтожение, запускает его и завершает работу (предполагается, что завершение работы потребует несколько секунд и BAT файл успеет отработать и стереть дроппер).
Анализатору известно 10 разновидностей данного зловреда, размер варьируется от 58 до 65 кб, дата первого обнаружения ITW 4.03.2008. Дропнутый файл BEEP.SYS имеет размер около 35 кб, отвечает за противодействие антивирусам и антивирусным утилитам. Блокировка по именам, в коде драйвера открытым текстом содержится база с именами файлов (в частности, он блокирует AVP, AVZ, GMER, GureIT, AVG ...).

AndreyKa
15.03.2008, 18:13
Алиасы
BackDoor-CVT (McAfee)
Dialer-2137 (ClamAV)
Dialer.RME (AVG)
Troj/Nebule-Gen (Sophos)
Trojan:Win32/Adialer.OP (Microsoft)
Trojan.Dialer.yz (Ewido)
Trojan.Mezzia.91 (DrWeb)
Trojan.Mezzia.Gen (BitDefender)
Trojan.Nebuler (Symantec)
Trojan.Win32.Dialer.yz (VBA32)
Trojan/Dialer.yz (TheHacker)
W32/Nebule.YZ!tr (Fortinet)
W32/Smalldoor.dam (Norman)
W32/Trojan2.ABSU (F-Prot)
http://www.virustotal.com/ru/analisis/a8734056acd2d6edf06d8ba4bcf7c7fb

Встречен в темах
http://virusinfo.info/showthread.php?t=17317
http://virusinfo.info/showthread.php?t=18295
http://virusinfo.info/showthread.php?t=18962
http://virusinfo.info/showthread.php?t=19551
http://virusinfo.info/showthread.php?t=20569
http://virusinfo.info/showthread.php?t=20881
http://virusinfo.info/showthread.php?t=21581

Файлы на диске
dll файл в папке \WINDOWS\SYSTEM32 со случайным именем, начинающимся с win и оканчивающимся на "32", например:
\WINDOWS\SYSTEM32\winpdc32.dll
\WINDOWS\system32\winpez32.dll

Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\_имя_файла_, DLLName

AndreyKa
16.03.2008, 12:52
Алиасы
Backdoor.Small.CIG (BitDefender)
Backdoor.Small.cyb (CAT-QuickHeal)
Proxy.YRL (AVG)
Trj/Eldycow.B (Panda)
Troj/FakeVir-AU (Sophos)
Trojan.Perfcoo (Symantec)
Trojan.Proxy.1739 (DrWeb)
Trojan.Win32.Undef.dng (Rising)
TrojanDownloader:Win32/Eldycow.gen!A (Microsoft)
W32/PpcFake.A!tr (Fortinet)
W32/Smalltroj.CXSS (Norman)
Win32.TrojanProxy.Agent.NDN (VBA32)
Win32/Eldycow.AA (eTrust-Vet)
Win32/TrojanProxy.Agent.NDN (NOD32v2)
http://www.virustotal.com/ru/analisis/ee848d975795023b3bd6b21c7269f4fa

Встречен в темах
http://virusinfo.info/showthread.php?t=19388
http://virusinfo.info/showthread.php?t=19389
http://virusinfo.info/showthread.php?t=19551
http://virusinfo.info/showthread.php?t=19727
http://virusinfo.info/showthread.php?t=19940
http://virusinfo.info/showthread.php?t=20023

Файлы на диске
C:\WINDOWS\system32\cru629.dat
6144 байт
Устанавливается вместе с такими файлами как
C:\WINDOWS\system32\dllcache\beep.sys
C:\WINDOWS\system32\braviax.exe
C:\WINDOWS\system32\users32.dat

Способ запуска
C:\WINDOWS\system32\cru629.dat
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs

AndreyKa
16.03.2008, 13:35
Алиасы
Aplicacion/Reanimator.a (TheHacker)
Application/WinReanimator (Panda)
Downloader.Agent.ACAC (AVG)
Downloader.MisleadApp (Symantec)
FraudTool.Reanimator.a (CAT-QuickHeal)
PHISH/FraudTool.Reanimator.A (AntiVir)
SystemDefender:Spyware-a (Prevx1)
Trojan.Fakealert.452 (DrWeb)
W32/DLoader.FRGT (Norman)
W32/Reanimator.A (Fortinet)
Win-AppCare/Reanimator.308712 (AhnLab-V3)
Win32/Adware.WinReanimator (NOD32v2)
http://www.virustotal.com/ru/analisis/a7e9bc89a801713df2eda388f065d50f

Встречен в темах
http://virusinfo.info/showthread.php?t=19388
http://virusinfo.info/showthread.php?t=19389
http://virusinfo.info/showthread.php?t=19727
http://virusinfo.info/showthread.php?t=19940
http://virusinfo.info/showthread.php?t=20975

Файлы на диске
C:\Program Files\WinReanimator\WinReanimator.exe
C:\Program Files\WinReanimator\WinReanimator.dll
и др.

Способ запуска
Инсталятор. Устанавливается с сайта :http:www.winreanimator.com путем обмана посетителей, под видом программы, защищающей компьютер от вредоносного ПО.
Регулярно обновляется.

AndreyKa
16.03.2008, 19:18
Алиасы
Backdoor:Win32/Small.BA (Microsoft)
BackDoor.Generic9.SWO (AVG)
BackDoor.Kiddy (DrWeb)
Backdoor.Small.clw (Ewido)
Backdoor.Small.cup (CAT-QuickHeal)
BDS/Small.cty (AntiVir)
Trojan.Backdoor.Small.cty (Webwasher-Gateway)
Trojan.Small-5100 (ClamAV)
W32/DLoader.FNIJ (Norman)
Win-Trojan/Backdoor.13312.D (AhnLab-V3)
Win32:Small-CHC (Avast)
http://www.virustotal.com/ru/analisis/027d05566dd44689fcc27716073b08ce

Встречен в темах
http://virusinfo.info/showthread.php?t=18034
http://virusinfo.info/showthread.php?t=18074
http://virusinfo.info/showthread.php?t=19786

Файлы на диске
C:\WINDOWS\system32\wininet.exe
C:\WINDOWS\system32\svc32_3.exe
13824 байт
Создает файл C:\WINDOWS\system32\svshost.dll - Backdoor.Win32.Small.cvg

Зайцев Олег
16.03.2008, 21:49
Алиасы
Aplicacion/Reanimator.a (TheHacker)
Application/WinReanimator (Panda)
Downloader.Agent.ACAC (AVG)
Downloader.MisleadApp (Symantec)
FraudTool.Reanimator.a (CAT-QuickHeal)
PHISH/FraudTool.Reanimator.A (AntiVir)
SystemDefender:Spyware-a (Prevx1)
Trojan.Fakealert.452 (DrWeb)
W32/DLoader.FRGT (Norman)
W32/Reanimator.A (Fortinet)
Win-AppCare/Reanimator.308712 (AhnLab-V3)
Win32/Adware.WinReanimator (NOD32v2)
http://www.virustotal.com/ru/analisis/a7e9bc89a801713df2eda388f065d50f

Встречен в темах
http://virusinfo.info/showthread.php?t=19388
http://virusinfo.info/showthread.php?t=19389
http://virusinfo.info/showthread.php?t=19727

Файлы на диске
C:\Program Files\WinReanimator\WinReanimator.exe
C:\Program Files\WinReanimator\WinReanimator.dll
и др.

Способ запуска
Инсталятор. Устанавливается с сайта :http:www.winreanimator.com путем обмана посетителей под видом программы защищающей компьютер от вредоносного ПО.
Регулярно обновляется.
Данный ITW экспонат был изучен анализатором 22.02.2008, небольшое дополнение по его работе:
1. В процессе запуска зловред может выдать окно, якобы сообщение об ошибке (это делается для "отвода глаз" пользователя). Другие варианты выводят окно с прогресс-индикатором, показывающим процесс загрузки и установки
2. Обращается к сайту :http:www.winreanimator.com и загружает с него несколько ZIP архивов
3. Создает папку C:\Program Files\WinReanimator, дропает в нее библиотеку unzip32.dll, загружает ее и применяет для распаковки загруженных архивов. Далее в данной папке создаются файлы WinReanimator.exe WinReanimator.dll pthreadVC2.dll un.ico install.exe htmlayout.dll, папки Microsoft.VC80.CRT (с библиотеками MS msvcm80.dll msvcp80.dll msvcr80.dll) и папка DATA, в которой находится файл, судя по сигнатурам похожий на урезнанную базу от CLAV. install.exe - это копия загрузчика зловреда
4. WinReanimator.exe прописывается в автозапуск
Сам загрузчик написан на Delphi. Размер - 308 кб, на текущий момент известно 8 разновидностей. Созданный им да диске WinReanimator после установки запускается, "сканирует" систему. На эталонной системе Windows XP SP2 он "находит" 28 шпионских объектов, причем показывает в логе имена заведомо несуществующих в системе объектов. Для "лечения" необходимо купить программу ... За счет автозапуска процесс "сканирования" повторяется при каждой загрузке. При закрытии WinReanimator сворачивается в трей. У зловреда как правило есть действующий деинсталлятор

AndreyKa
22.03.2008, 13:15
Алиасы
I-Worm/Nuwar.N (AVG)
Storm.Worm (Sunbelt)
Trj/Alanchum.XH (Panda)
Trojan:Win32/Tibs.FS (Microsoft)
Trojan.DownLoader.19256 (DrWeb)
Trojan.Peed-154 (ClamAV)
TROJAN.PEED.AK (Prevx1)
Trojan.Peed.JAL (BitDefender)
Trojan.Tibs.Gen!Pac.G (VirusBuster)
Trojan.Win32.Zhelatin (VBA32)
Trojan/Downloader.Tibs.vz (TheHacker)
W32/Tibs.BNJZ (Norman)
W32/Tibs.L.gen!Eldorado (F-Prot)
Win32.Trojan-Downloader.Tibs.qt.4 (CAT-QuickHeal)
Win32/SillyDl.DZN (eTrust-Vet)
WORM/Zhelatin.Gen (AntiVir)
http://www.virustotal.com/ru/analisis/8bf917fe13b0472c98853fa49e93c067

Встречен в темах
http://virusinfo.info/showthread.php?t=19250
http://virusinfo.info/showthread.php?t=19709
http://virusinfo.info/showthread.php?t=19977

Файлы на диске
C:\WINDOWS\system32\wind32.exe
или
C:\WINDOWS\system32\win32.exe
16848 байт

Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, System

Примечание
Детектируется эвристиком AVZ: Подозрение на Trojan-Downloader.Win32.Tibs.wc
Обращается к сайту bestnums.net

AndreyKa
22.03.2008, 21:19
Алиасы
Downloader.Agent.ADKO (AVG)
Spammer:Win32/Newacc.A (Microsoft)
TR/Dldr.Agent.leu.1 (AntiVir)
Trojan.Dldr.Agent.leu.1 (Webwasher-Gateway)
Trojan.DownLoader.50217 (DrWeb)
TrojanDownloader.Agent.leu (CAT-QuickHeal)
W32/Agent.EVGM (Norman)
W32/Agent.LEU!tr.dldr (Fortinet)
Win32/Spy.Agent.NFN (NOD32v2)
http://www.virustotal.com/ru/analisis/56688a275b4e11a467244ea3de753f14

Встречен в темах
http://virusinfo.info/showthread.php?t=19777
http://virusinfo.info/showthread.php?t=19849
http://virusinfo.info/showthread.php?t=19996
http://virusinfo.info/showthread.php?t=20020
http://virusinfo.info/showthread.php?t=20030
http://virusinfo.info/showthread.php?t=20091

Файлы на диске
Файлы с расширением tmp и именем начинающимся с bn в папке c:\windows\temp, например:
c:\windows\temp\bn3.tmp
c:\windows\temp\bnf.tmp
46080 байт

Способ запуска
Загружается из Интернета и запускается другой вредоносной программой (предположительно Trojan-Downloader.Win32.Agent.kif).

Внешние проявления (со слов пользователей)
Запускаются лишние процессы svchost.exe и Internet Explorer.

Отличия Trojan-Downloader.Win32.Agent.mkb
Дополнительные алиасы
Downloader.Agent.AEWS (AVG)
TR/Dldr.Agent.mkb.5 (AntiVir)
Trojan.Dldr.Agent.mkb.5 (Webwasher-Gateway)
Trojan.DownLoader.56617 (DrWeb)
W32/Agent.FDVK (Norman)
Win-Trojan/Agent.46592.CZ (AhnLab-V3)
Win32/SillyDl.EDE (eTrust-Vet)
http://www.virustotal.com/ru/analisis/e96507cb4a823d799ce042084c3665f1

Встречен в темах
http://virusinfo.info/showthread.php?t=21013
http://virusinfo.info/showthread.php?t=21056
http://virusinfo.info/showthread.php?t=21113
http://virusinfo.info/showthread.php?t=21129
http://virusinfo.info/showthread.php?t=21140
http://virusinfo.info/showthread.php?t=21208
http://virusinfo.info/showthread.php?t=21648
http://virusinfo.info/showthread.php?t=21818
http://virusinfo.info/showthread.php?t=21829

Файлы на диске
46592 байт

Способ запуска
Загружается из Интернета и запускается другой вредоносной программой (одной из семейства Trojan-Downloader.Win32.Mutant).

AndreyKa
23.03.2008, 11:22
Алиасы
Agent.2.BT (AVG)
Rootkit.Agent.aaq (Ewido)
Rootkit.Srizbi.Gen (VirusBuster)
Rootkit/Agent.FGN (Panda)
Srizbi.sys (McAfee)
Troj/RKAgen-Fam (Sophos)
Trojan:Win32/Srizbi.gen (Microsoft)
Trojan.Sentinel (DrWeb)
Trojan.Srizbi.a (CAT-QuickHeal)
Trojan.Srizbi.AX (BitDefender)
Trojan.Win32.Undef.czb (Rising)
Trojan/Agent.abe (TheHacker)
W32/Rootkit.AVX (Norman)
W32/Trojan2.UOG (F-Prot)
Win-Trojan/Rootkit.167424 (AhnLab-V3)
Win32:Srizbi (Avast)
http://www.virustotal.com/ru/analisis/c61f5ffed458cfdc479ebff54f43941d#

Описание
Рассылает спам, использует методы руткита для сокрытия своего присутствия в системе. Запускается в безопасном режиме загрузки Windows.
Детектируется эвристиком AVZ: Подозрение на Trojan.Win32.Srizbi.j
Функционирует как модуль пространства ядра. В списке драйверов AVZ отсутствует.

Встречен в темах
http://virusinfo.info/showthread.php?t=18620
http://virusinfo.info/showthread.php?t=19409
http://virusinfo.info/showthread.php?t=19821
http://virusinfo.info/showthread.php?t=20185
http://virusinfo.info/showthread.php?t=20680
http://virusinfo.info/showthread.php?t=20690

Файлы на диске
Драйвер в папке C:\WINDOWS\system32\Drivers со случайным именем с двумя цифрами на конце, например:
C:\WINDOWS\system32\Drivers\Urbh37.sys
C:\WINDOWS\system32\drivers\grande48.sys
167936 байт

Способ запуска
Драйвер.

Отличия Trojan.Win32.Srizbi.j
Дополнительные алиасы
Rootkit/Agent.IGL (Panda)
Trojan.Rootkit-654 (ClamAV)
Trojan.Srizbi.j (Ewido)
W32/RKAgen.J!tr (Fortinet)
Win32.Srizbi.j (eSafe)
Win32/Rootkit.Agent.HU (NOD32v2)
http://www.virustotal.com/ru/analisis/3d6375a2b21e1abe98b335385840a0c5

Встречен в темах
http://virusinfo.info/showthread.php?t=19858
http://virusinfo.info/showthread.php?t=20185
http://virusinfo.info/showthread.php?t=20222

AndreyKa
29.03.2008, 14:12
Алиасы
RKIT/Podnuha.AK.1 (AntiVir)
Rootkit.Podnuha.AK.1 (Webwasher-Gateway)
Trojan:Win32/Boaxxe.B (Microsoft)
Trojan.DownLoader.54066 (DrWeb)
Trojan/Podnuha.ak (TheHacker)
W32/Podnuha.AK!tr.rkit (Fortinet)
W32/Rootkit.EKT (Norman)
http://www.virustotal.com/ru/analisis/6238c0f4156b753931f855f44fbca11b

Описание
Функцонирует как модуль Проводника.
Удаляет из автозагрузки SpybotSD TeaTimer.
Может детектироватся AVZ как: Подозрение на Rootkit.Win32.Podnuha.al

Встречен в темах
http://virusinfo.info/showthread.php?t=19430
http://virusinfo.info/showthread.php?t=20048
http://virusinfo.info/showthread.php?t=20373

Файлы на диске
dll файл в папке C:\WINDOWS\system32 со случайным именем, например:
c:\windows\system32\adsnd.dll
C:\WINDOWS\system32\pstorsv.dll

Способ запуска
Модуль расширения Internet Explorer, BHO
CLSID случайный.

Отличия Rootkit.Win32.Podnuha.ay
Дополнительные Алиасы
BackDoor.Generic9.ADUG (AVG)
RKIT/Podnuha.AY.2 (AntiVir)
Rootkit.Podnuha.AY.2 (Webwasher-Gateway)
Trojan.DownLoader.54960 (DrWeb)
Trojan/Podnuha.ay (TheHacker)
W32/Podnuha.AY!tr.rkit (Fortinet)
W32/Rootkit.EQN (Norman)
Win-Trojan/Podnuha.98048.D (AhnLab-V3)
http://www.virustotal.com/ru/analisis/eb9d7c0abf22f0c1e9a339e3f647f113

Встречен в темах
http://virusinfo.info/showthread.php?t=19996
http://virusinfo.info/showthread.php?t=20247
http://virusinfo.info/showthread.php?t=20412
http://virusinfo.info/showthread.php?t=21622

AndreyKa
29.03.2008, 16:24
Алиасы
Adware.BitAcc (DrWeb)
Generic10.UZ (AVG)
Trojan.Generic.133331 (BitDefender)
TrojanClicker:Win32/RuPass (Microsoft)
W32/Trojan2.AFYX (F-Prot)
http://www.virustotal.com/ru/analisis/7d08f534305de50032fa5fc851ce29ad

Описание
Распространяется сайтом letitbit.net под видом "ускорителя":

Bit Accelerator
позволяет увеличить скорость до 10 раз. Установите нашу программу и получите файл
Широкое распространение данного трояна обеспечивает схема подкупа распространителей ссылок:

Мы платим вам деньги за уникальные загрузки ваших файлов.
Цена за 1000 уникальных доунлоадов, варьируется, от 5$ до 15$ - в зависимости от качества трафика (посетителей)

Встречен в темах
http://virusinfo.info/showthread.php?t=19917
http://virusinfo.info/showthread.php?t=20246
http://virusinfo.info/showthread.php?t=20270
http://virusinfo.info/showthread.php?t=20406
http://virusinfo.info/showthread.php?t=20563
http://virusinfo.info/showthread.php?t=22924

Файлы на диске
c:\program files\connectionservices\connectionservices.dll
454144 байт

Способ запуска
Модули расширения Internet Explorer, BHO
CLSID {6D7B211A-88EA-490c-BAB9-3600D8D7C503}

Внешние проявления (со слов пользователей)
Переадресация браузера на ненужные сайты.

Отличия Trojan.Win32.ConnectionServices.w
Алиасы
Fakesvc.D (AVG)
TR/ConnectionServices.W (AntiVir)
Trojan.BhoSpy.2 (DrWeb)
Trojan.Clicker.Win32.ConnectionSrv.a (Rising)
Trojan.ConnectionServices.w (CAT-QuickHeal)
Trojan.Generic.241832 (BitDefender)
Trojan.Spy-32751 (ClamAV)
TrojanClicker:Win32/RuPass.B (Microsoft)
W32/BitAccelerator.HF (Norman)
W32/ConnectionServices.W!tr (Fortinet)
http://www.virustotal.com/ru/analisis/5a34b727b7559197e35d40ee7d68631e

Встречен в темах
http://virusinfo.info/showthread.php?t=21600
http://virusinfo.info/showthread.php?t=22786
http://virusinfo.info/showthread.php?t=22924
http://virusinfo.info/showthread.php?t=23040
http://virusinfo.info/showthread.php?t=23067
http://virusinfo.info/showthread.php?t=23165
http://virusinfo.info/showthread.php?t=23532
http://virusinfo.info/showthread.php?t=23539
http://virusinfo.info/showthread.php?t=23729

Файл на диске
462336 байт

AndreyKa
30.03.2008, 21:56
Алиасы
Agent.QZP (AVG)
TR/Agent.iae (AntiVir)
Trojan.Agent.hhc (CAT-QuickHeal)
Trojan.DL.BServ.Gen (VirusBuster)
Trojan.Inject.GF (BitDefender)
Trojan.Okuks (DrWeb)
W32/Agent.EWQN (Norman)
Win-Trojan/Agent.24576.KW (AhnLab-V3)
http://www.virustotal.com/ru/analisis/b3bd17f7bc171362244a3a6feccec295

Встречен в темах
http://virusinfo.info/showthread.php?t=19996
http://virusinfo.info/showthread.php?t=20544
http://virusinfo.info/showthread.php?t=20547
http://virusinfo.info/showthread.php?t=20569
http://virusinfo.info/showthread.php?t=20632
http://virusinfo.info/showthread.php?t=20907

Файлы на диске
Файл со случайным именем (base*32.dll) в папке C:\WINDOWS\system32, например:
C:\WINDOWS\system32\basesecn32.dll
24576 байт

Способ запуска
Прописывает свой автозапуск в реестре оригинальным способом, в ключе Windows раздела [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems].
Так что при удалениии файла компьютер не может загрузиться в любом режиме.

Примечание
Антивирус DrWeb CureIt! может либо "вылечить" троянскую библиотеку, чтобы она загружалась, но была безвредной, либо удалить, исправив при этом реестр.
В случае, если файл уже был удален и загрузка не возможна, загрузитесь с загрузочного диска типа Bart CD и скопируйте имеющийся в папке С:\WINDOWS\system32 файл basesrv.dll в ту же папку под именем удаленного файла.

Отличия Trojan.Win32.Agent.fde
Дополнительные алиасы
Agent.OHU (AVG)
TR/Agent.fde.1 (AntiVir)
Trj/Agent.HYT (Panda)
Trojan:Win32/Agent.ADH (Microsoft)
Trojan.Agent.fbo (CAT-QuickHeal)
Trojan.Agent.fde.1 (Webwasher-Gateway)
Trojan.DoS.Win32.Opdos (Prevx1)
W32/Agent.EGPL (Norman)
Win-Trojan/Agent.24576.KO (AhnLab-V3)
Win32/BHO.NCK (NOD32v2)
http://www.virustotal.com/ru/analisis/01253affb09b0398a67ff766f6541c02

Встречен в темах
http://virusinfo.info/showthread.php?t=19313
http://virusinfo.info/showthread.php?t=19346
http://virusinfo.info/showthread.php?t=20772

Отличия Trojan.Win32.Agent.fxk
Дополнительные алиасы
Agent.PRJ (AVG)
W32/Agent.EXRV (Norman)
Win-Trojan/Agent.24576.KH (AhnLab-V3)
http://www.virustotal.com/ru/analisis/b3bd17f7bc171362244a3a6feccec295

Встречен в темах
http://virusinfo.info/showthread.php?t=18609
http://virusinfo.info/showthread.php?t=19006
http://virusinfo.info/showthread.php?t=19121
http://virusinfo.info/showthread.php?t=20397
http://virusinfo.info/showthread.php?t=20714
http://virusinfo.info/showthread.php?t=20907
http://virusinfo.info/showthread.php?t=22199

AndreyKa
04.04.2008, 22:54
Алиасы
Downloader.Generic7.DOA (AVG)
TR/Dldr.Small.trp (AntiVir)
Trojan.Dldr.Small.trp (Webwasher-Gateway)
Trojan.PWS.Pace (DrWeb)
TrojanDownloader.Small.trp (CAT-QuickHeal)
W32/DLoader.GLCE (Norman)
http://www.virustotal.com/ru/analisis/1361258e0f7acada7fc3f2cfbe61fc04

Встречен в темах
http://virusinfo.info/showthread.php?t=20782
http://virusinfo.info/showthread.php?t=20884
http://virusinfo.info/showthread.php?t=20930
http://virusinfo.info/showthread.php?t=20944
http://virusinfo.info/showthread.php?t=21388
http://virusinfo.info/showthread.php?t=21555
http://virusinfo.info/showthread.php?t=21725
http://virusinfo.info/showthread.php?t=22211

Файлы на диске
%UserProfile%\cftmon.exe
C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
c:\windows\system32\drivers\spools.exe
Файлы имеют случайный размер, так как в конец файла дописывается "мусор".

Способ запуска
1) Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, autoload
%UserProfile%\cftmon.exe
2) Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, autoload
%UserProfile%\cftmon.exe
3) Нестандартный ключ Shell\Open для "exefile": "C:\WINDOWS\system32\drivers\spools.exe "%1" %*"

Отличия Worm.Win32.Socks.au
Алиасы
PSW.Agent.SPY (AVG)
Trojan.DownLoader.56630 (DrWeb)
W32/Socks.au (TheHacker)
W32/Socks.B.worm (Panda)
Win32:Socks-F (Avast)
Win32.Worm.Socks.D (BitDefender)
Win32/PSW.Agent.NHI (NOD32v2)
Win32/Ruternam!generic.2 (eTrust-Vet)
Worm:Win32/Agent.AF (Microsoft)
Worm.Socks-3 (ClamAV)
Worm.Socks.C (VirusBuster)
Worm/Socks.AU (AntiVir)
http://www.virustotal.com/ru/analisis/4dd83cd7c38df98c77ddab0fd1d767bd

Встречен в темах
http://virusinfo.info/showthread.php?t=21064
http://virusinfo.info/showthread.php?t=21096
http://virusinfo.info/showthread.php?t=21169
http://virusinfo.info/showthread.php?t=21195
http://virusinfo.info/showthread.php?t=22211

Дополнительные способы запуска
4) Служба: Schedule
Описание: Планировщик заданий
C:\WINDOWS\system32\drivers\spool.exe
Группа: SchedulerGroup
5) Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, ntuser
C:\WINDOWS\system32\drivers\spools.exe
6) Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, ntuser
C:\WINDOWS\system32\drivers\spools.exe

AndreyKa
05.04.2008, 12:35
Алиасы
Backdoor.SDBot.DFCV (BitDefender)
Generic10.FSZ (AVG)
Mal/Emogen-G (Sophos)
Trojan.DoS.Win32.Opdos (Prevx1)
Trojan.Pakes.clw (CAT-QuickHeal)
Trojan.Proxy.3057 (DrWeb)
W32/Smalltroj.DQHU (Norman)
http://www.virustotal.com/ru/analisis/779273e9c30c6029b41308e59a6b56d2

Описание
Функционирует как модуль процесса c:\windows\system32\winlogon.exe
Рассылает спам.

Встречен в темах
http://virusinfo.info/showthread.php?t=20794
http://virusinfo.info/showthread.php?t=20925
http://virusinfo.info/showthread.php?t=21027
http://virusinfo.info/showthread.php?t=21837

Файлы на диске
C:\WINDOWS\system32\sysfldr.dll
14336 байт

Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sysfldr, DLLName
Файл: sysfldr.dll

Внешние проявления (со слов пользователей)
Постоянная сетевая активность при подключении к Интернету.

AndreyKa
09.04.2008, 06:27
Алиасы
Downloader.Agent.ADPL (AVG)
TR/Dldr.Agent.lsw (AntiVir)
Trj/Downloader.TAV (Panda)
Troj/Agent-GUC (Sophos)
TROJAN.AGENT.GEN (Prevx1)
Trojan.CL.Zirit.B (VirusBuster)
Trojan.Click.18023 (DrWeb)
Trojan.Clicker.Win32.Undef.c (Rising)
Trojan.Dldr.Agent.lsw (Webwasher-Gateway)
Trojan.Downloader.JJSF (BitDefender)
Trojan.Dropper-5285 (ClamAV)
Trojan/Downloader.Agent.lsw (TheHacker)
TrojanClicker:Win32/Zirit.X (Microsoft)
TrojanDownloader.Agent.lsw (CAT-QuickHeal)
W32/Agent.LSW!tr.dldr (Fortinet)
W32/Downldr2.BGGB (F-Prot)
Win-Trojan/Agent.14378.B (AhnLab-V3)
Win32:Agent-SVM (Avast)
Win32/SillyDl.EBM (eTrust-Vet)
Win32/TrojanClicker.Agent.NCU (NOD32v2)
http://www.virustotal.com/ru/analisis/88f08aa469ec4c6af3157b91054c40b6

Встречен в темах
http://virusinfo.info/showthread.php?t=20280
http://virusinfo.info/showthread.php?t=20596
http://virusinfo.info/showthread.php?t=21169

Файлы на диске
dll файл в подпапке со случайным именем папки C:\WINDOWS\Installer. Имя файла может быть разным:
C:\WINDOWS\Installer\{d7c88581-a5ad-41f5-986d-2a963e850500}\AlrtCheck.dll
C:\WINDOWS\Installer\{8f200620-9bdd-48f4-9fb6-53abb00f8173}\UnknownSrv.dll
C:\WINDOWS\Installer\{30b210fd-2fae-4432-97f1-3668528dff51}\RunOnceAlrt.dll
14378 байт.

Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad

AndreyKa
09.04.2008, 20:29
Алиасы
Dropper.Small.apl (Ewido)
Dropper.Win32.Agent.nxs (Rising)
Dropper/Downloader.70207 (AhnLab-V3)
Generic.VDU (AVG)
TR/Drop.Small.apl (AntiVir)
Trj/Dropper.UN (Panda)
Troj/Dropper-LC (Sophos)
Trojan.Drop.Small.apl (Webwasher-Gateway)
Trojan.Dropper-829 (ClamAV)
Trojan.Dropper.Small.APL (BitDefender)
Trojan.MulDrop.4181 (DrWeb)
TrojanDropper.Small.apl (CAT-QuickHeal)
W32/Dropper.BMZ (F-Prot)
W32/Perlovga (McAfee)
W32/Smalldrp.JHW (Norman)
Win32:Agent-ILR (Avast)
Win32.Small.apl (eSafe)
Win32/Perlovga.A (eTrust-Vet)
Win32/TrojanDropper.Small.APL (NOD32v2)
Worm:Win32/Perlovga.dr (Microsoft)
Worm.DR.Perlovga.B (VirusBuster)
http://www.virustotal.com/ru/analisis/f37654464b76e236922d61796d527dda

Описание
При запуске создает и запускает вредоносные файлы:
C:\WINDOWS\system32\temp2.exe - Backdoor.Win32.Small.lo
C:\WINDOWS\system32\temp1.exe - Worm.Win32.Perlovga.c
Пытается подключиться к hnmy.3322.org:8888

Встречен в темах
http://virusinfo.info/showthread.php?t=20496
http://virusinfo.info/showthread.php?t=20507
http://virusinfo.info/showthread.php?t=20508
http://virusinfo.info/showthread.php?t=22099
http://virusinfo.info/showthread.php?t=22155
http://virusinfo.info/showthread.php?t=22358

Файлы на диске
C:\WINDOWS\svchost.exe
70207 байт

Способ запуска
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Windows, Load
Файл: C:\WINDOWS\svchost.exe

AndreyKa
11.04.2008, 05:01
Алиасы
Ad-Spyware.Bho.ajq.2 (Webwasher-Gateway)
ADSPY/Bho.ajq.2 (AntiVir)
Adware Generic3.YB (AVG)
AdWare.BHO.ajq (CAT-QuickHeal)
Troj/BHO-FA (Sophos)
Trojan.BHO.Delf.M (BitDefender)
Trojan.BHO.HCZ (VirusBuster)
W32/BHO.BXO (Norman)
Win32/Adware.BHO.AJQ (NOD32v2)
http://www.virustotal.com/ru/analisis/9a95b8dfe387670da7897e860454f920

Встречен в темах
http://virusinfo.info/showthread.php?t=20700
http://virusinfo.info/showthread.php?t=20796
http://virusinfo.info/showthread.php?t=20944
http://virusinfo.info/showthread.php?t=21195
http://virusinfo.info/showthread.php?t=21555
http://virusinfo.info/showthread.php?t=21824
http://virusinfo.info/showthread.php?t=21829
http://virusinfo.info/showthread.php?t=22211

Файлы на диске
c:\autoex.dll
444416 байт

Способ запуска
BHO
CLSID: {F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2}
Файл: c:\autoex.dll

AndreyKa
12.04.2008, 08:10
Алиасы
Downloader.Generic7.EBJ (AVG)
TR/Agent.11264.71 (AntiVir)
Trj/BedeTres.Q (Panda)
Trojan.Agent.11264.71 (Webwasher-Gateway)
Trojan.DownLoader.54123 (DrWeb)
Trojan.DR.Pandex.Gen.4 (VirusBuster)
Trojan.Kobcka.DK (BitDefender)
Trojan.Win32.Undef.ems (Rising)
TrojanDownloader.Mutant.ci (CAT-QuickHeal)
TrojanDropper:Win32/Cutwail.Z (Microsoft)
W32/DLoader.GMYU (Norman)
W32/Mutant.CI!tr.dldr (Fortinet)
Win32/Cutwail!generic.1 (eTrust-Vet)
http://www.virustotal.com/ru/analisis/49672d9dcf5033a08207b9906c072ccd

Встречен в темах
http://virusinfo.info/showthread.php?t=20908
http://virusinfo.info/showthread.php?t=20925
http://virusinfo.info/showthread.php?t=20933
http://virusinfo.info/showthread.php?t=20988
http://virusinfo.info/showthread.php?t=21027
http://virusinfo.info/showthread.php?t=21031
http://virusinfo.info/showthread.php?t=21126
http://virusinfo.info/showthread.php?t=21195
http://virusinfo.info/showthread.php?t=21208

Файлы на диске
C:\WINDOWS\system32\WLCtrl32.dll
10752 байт

Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32,
DLLName: WLCtrl32.dll

Отличия Trojan-Downloader.Win32.Mutant.da
Дополнительные алиасы
Dropper.Win32.Agent.zij (Rising)
TR/Dldr.Mutant.CZ (AntiVir)
Trojan.Cutwail.z (CAT-QuickHeal)
Trojan.Dldr.Mutant.CZ (Webwasher-Gateway)
Trojan.Downloader-29322 (ClamAV)
Trojan.DownLoader.54123 (DrWeb)
Trojan.Kobcka.DM (BitDefender)
http://www.virustotal.com/ru/analisis/a1a80867b8384d78ba5fbc2c046d8b8b

Встречен в темах
http://virusinfo.info/showthread.php?t=21068
http://virusinfo.info/showthread.php?t=21100
http://virusinfo.info/showthread.php?t=21129

Отличия Trojan-Downloader.Win32.Mutant.hx
Дополнительные алиасы
Dropper.Win32.Cutwail.s (Rising)
Trojan.DownLoader.56882 (DrWeb)
TrojanDownloader.Mutant.hx (CAT-QuickHeal)
Win32/Wigon.BP (NOD32v2)
http://www.virustotal.com/ru/analisis/c9ad0e13bf1aac33b859523b4353ed61

Встречен в темах
http://virusinfo.info/showthread.php?t=21013
http://virusinfo.info/showthread.php?t=21310
http://virusinfo.info/showthread.php?t=21320
http://virusinfo.info/showthread.php?t=21348
http://virusinfo.info/showthread.php?t=21356
http://virusinfo.info/showthread.php?t=21379
http://virusinfo.info/showthread.php?t=21380
http://virusinfo.info/showthread.php?t=21388
http://virusinfo.info/showthread.php?t=21555
http://virusinfo.info/showthread.php?t=21944

AndreyKa
16.04.2008, 20:15
Алиасы
BackDoor.Generic9.TDG (AVG)
Rootkit.575 (BitDefender)
Rootkit.Agent.aag (Ewido)
Rootkit/Agent.IFM (Panda)
Spammer:WinNT/Srizbi.A (Microsoft)
Trojan.Rootkit-761 (ClamAV)
Trojan.Spambot.2830 (DrWeb)
Trojan.Srizbi (Symantec)
Trojan/Agent.aag (TheHacker)
W32/Agent.AAG!tr.rkit (Fortinet)
W32/Rootkit.APT (F-Prot)
W32/Rootkit.DHI (Norman)
Win-Trojan/Agent.143872.I (AhnLab-V3)
http://www.virustotal.com/ru/analisis/639af0112b5428e8e072fe378960bbe4

Описание
Функционирует как модуль пространства ядра.
Рассылает СПАМ.
Руткит противодействует AVZ, при выполнении стандартных скриптов вызывается неустранимая ошибка (BSOD) и компьютер перезагружается. Загружается и в безопасном режиме.

Встречен в темах
http://virusinfo.info/showthread.php?t=20592
http://virusinfo.info/showthread.php?t=21064
http://virusinfo.info/showthread.php?t=21555

Файлы на диске
Драйвер в папке C:\WINDOWS\system32\Drivers со случайным именем с двумя цифрами на конце, например:
C:\WINDOWS\System32\Drivers\Qnj38.sys
C:\WINDOWS\system32\drivers\symavc32.sys
143872 байт

Способ запуска
Драйвер. В логе AVZ виден только как работающий модуль пространства ядра.

Отличия Rootkit.Win32.Agent.aih
Дополнительные алиасы
Generic10.FSN (AVG)
Rootkit.Agent.aih (CAT-QuickHeal)
Rootkit.Srizbi.Gen (VirusBuster)
Rootkit/Agent.IGL (Panda)
Spammer:WinNT/Srizbi.gen (Microsoft)
Srizbi.sys (McAfee)
Trojan.Rootkit-654 (ClamAV)
Trojan.Sentinel (DrWeb)
Trojan.Srizbi.AX (BitDefender)
Trojan.Srizbi.j (Ewido)
Trojan.Win32.Srizbi.j (VBA32)
Trojan.Win32.Undef.czb (Rising)
W32/Rootkit.AVX (Norman)
W32/Trojan2.UOG (F-Prot)
Win-Trojan/Rootkit.167424 (AhnLab-V3)
Win32.Srizbi.j (eSafe)
Win32/Agent.NRK (NOD32v2)
Win32/Fuzfle.AN (eTrust-Vet)
http://www.virustotal.com/ru/analisis/0b7b7b7c90b1fe3db803a7d875acbee4

Встречен в темах
http://virusinfo.info/showthread.php?t=21555
http://virusinfo.info/showthread.php?t=22141
http://virusinfo.info/showthread.php?t=22165
http://virusinfo.info/showthread.php?t=22211
http://virusinfo.info/showthread.php?t=22317
http://virusinfo.info/showthread.php?t=22383
http://virusinfo.info/showthread.php?t=22421
http://virusinfo.info/showthread.php?t=23005
http://virusinfo.info/showthread.php?t=23626
http://virusinfo.info/showthread.php?t=24009
http://virusinfo.info/showthread.php?t=24016

Файл на диске
167936 байт

AndreyKa
19.04.2008, 07:08
Алиасы
I-Worm.Bagle.of (CAT-QuickHeal)
Mal/Behav-191 (Sophos)
TR/Bagle.Gen.B (AntiVir)
Trojan.Bagle.Gen.B (Webwasher-Gateway)
W32/Bagle.gen (McAfee)
W32/Bagle.RP.worm (Panda)
W32/PackBag.A (Fortinet)
Win32.Bagle.SUQ@mm (BitDefender)
Win32.HLLM.Beagle (DrWeb)
Worm:Win32/Bagle.gen!C (Microsoft)
http://www.virustotal.com/ru/analisis/486f8a3942d17cc65f8bd681b5b9761a

Описание
Почтовый червь.
Останавливает службы:
- ALG "Служба шлюза уровня приложения"
- RasMan "Диспетчер подключений удаленного доступа"
- SharedAccess "Брандмауэр Windows/Общий доступ к Интернету (ICS)"
- TapiSrv "Телефония"
- wscsvc "Центр обеспечения безопасности"
Использует технологию руткита для сокрытия присутствия в операционной системе.
Препятствует запуску антивирусных программ по именам файлов.
У всех файлов одинаковая контрольная сумма CRC32: 2144DF1C, не смотря на то, что содержимое файлов разное.

Встречен в темах
http://virusinfo.info/showthread.php?t=17148
http://virusinfo.info/showthread.php?t=17312
http://virusinfo.info/showthread.php?t=20072
http://virusinfo.info/showthread.php?t=21586
http://virusinfo.info/showthread.php?t=21685
http://virusinfo.info/showthread.php?t=23473

Файлы на диске
C:\windows\system32\wintems.exe
C:\windows\system32\mdelk.exe
Встречается вместе с файлами семейства Trojan-Downloader.Win32.Bagle:
C:\windows\system32\drivers\hldrrr.exe
C:\windows\system32\drivers\srosa.sys

Способ запуска
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, german.exe
Файл: C:\WINDOWS\system32\wintems.exe

AndreyKa
22.04.2008, 23:51
Алиасы
Sus/Behav-200 (Sophos)
Trojan.Virtumod.367 (DrWeb)
Trojan.Vundo.EHW (BitDefender)
W32/Virtumonde.URK (Norman)
http://www.virustotal.com/ru/analisis/aea0b7a2cb6d782c0aaa77ecb0fcc74b

Описание
Рекламная программа, показывающая всплывающие сообщения.
Функционирует как модуль сразу нескольких процессов.
Встречается вместе с другими представителями семейства AdWare.Win32.Virtumonde.
Экземпляры файлов отличаются друг от друга приписанным в конце файла случайным набором чисел.

Встречен в темах
http://virusinfo.info/showthread.php?t=21839
http://virusinfo.info/showthread.php?t=21860
http://virusinfo.info/showthread.php?t=21879

Файлы на диске
Файл dll со случайным именем из букв в папке C:\WINDOWS\system32, например:
C:\Windows\system32\tuvrqojg.dll
88128 байт

Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run

AndreyKa
25.04.2008, 19:53
Алиасы
Generic10.OWF (AVG)
Trojan.Agent.AGKK (BitDefender)
Trojan.Okuks.27 (DrWeb)
Trojan.Pakes.csd (CAT-QuickHeal)
W32/Agent.AZ.gen!Eldorado (F-Prot)
http://www.virustotal.com/ru/analisis/40dcdf003275d59aa465d5fe0dcbbc41

Встречен в темах
http://virusinfo.info/showthread.php?t=21668
http://virusinfo.info/showthread.php?t=21896
http://virusinfo.info/showthread.php?t=21940
http://virusinfo.info/showthread.php?t=21952
http://virusinfo.info/showthread.php?t=22062
http://virusinfo.info/showthread.php?t=22107

Файлы на диске
Файл со случайным именем (base*32.dll) в папке C:\WINDOWS\system32, например:
C:\WINDOWS\system32\baseouqwr32.dll
24576 байт

Способ запуска
Прописывает свой запуск в реестре, в ключе Windows раздела [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems].
При удалениии файла компьютер не может загрузиться в любом режиме.

Примечание
В случае, если файл уже был удален и загрузка не возможна, загрузитесь с загрузочного диска типа Bart CD и скопируйте имеющийся в папке С:\WINDOWS\system32 файл basesrv.dll в ту же папку под именем удаленного файла.

Отличия Trojan.Win32.SubSys.ce
Дополнительные алиасы
Agent.STC (AVG)
TR/Inject.GF.22 (AntiVir)
Troj/Agent-GXR (Sophos)
Trojan-PWS.Papras.D (Sunbelt)
Trojan:Win32/Subsys.C (Microsoft)
Trojan.DL.BServ.Gen (VirusBuster)
Trojan.Inject.GF.22 (Webwasher-Gateway)
Trojan.PWS.Papras.D (BitDefender)
Trojan.SubSys.ce (CAT-QuickHeal)
W32/Smalltroj.ECGR (Norman)
W32/SubSys.CE!tr (Fortinet)
Win-Trojan/Subsys.24576.C (AhnLab-V3)
http://www.virustotal.com/ru/analisis/4a2a63bd00aa6745f85b644f5d21d699

Встречен в темах
http://virusinfo.info/showthread.php?t=21064
http://virusinfo.info/showthread.php?t=21082
http://virusinfo.info/showthread.php?t=21191
http://virusinfo.info/showthread.php?t=21672
http://virusinfo.info/showthread.php?t=22072
http://virusinfo.info/showthread.php?t=22173
http://virusinfo.info/showthread.php?t=22765

AndreyKa
25.04.2008, 21:27
Алиасы
Mal/Behav-066 (Sophos)
SHeur.BFFQ (AVG)
TR/Spy.ZBot.bbi (AntiVir)
Trj/Sinowal.DW (Panda)
Trojan.Proxy.3111 (DrWeb)
Trojan.Spy.ZBot.BN (BitDefender)
Trojan/Spy.Zbot.bbi (TheHacker)
TrojanSpy.Zbot.GO (VirusBuster)
W32/Zbot.KA (Norman)
Win32: Zbot-KK (Avast)
Win32/VMalum.CPYF (eTrust-Vet)
http://www.virustotal.com/ru/analisis/1b9b28f4e4fc9509c09759c85817abb1

Описание
Троян со свойствами руткита. Отключает файрволы, похищает конфиденциальную финансовую информацию (номера кредитных карт, данные идентификации онлайновых банковских служб), делает снимки экрана, скачивает дополнительные програмные модули и открывает удаленный доступ к зараженной системе для злоумышленника.
Внедряет свой исполняемый код в функционирующие системные процессы.
Связывается с веб-сайтом по адресу: 195.2.253.94

Встречен в темах
http://virusinfo.info/showthread.php?t=21783
http://virusinfo.info/showthread.php?t=21818
http://virusinfo.info/showthread.php?t=22003
http://virusinfo.info/showthread.php?t=22027
http://virusinfo.info/showthread.php?t=23677

Файлы на диске
C:\WINDOWS\system32\ntos.exe
Размер файла случайный. К его телу размером 47104 байт приписывается "мусор" случайного размера.

Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit

Отличия Trojan-Spy.Win32.Zbot.bcn
Алиасы
Mal/EncPk-DI (Sophos)
Pakes.AB (AVG)
TR/Spy.ZBot.bcn (AntiVir)
Trojan.Proxy.2842 (DrWeb)
Trojan.Spy.Wsnpoem.BA (BitDefender)
Trojan.Spy.ZBot.bcn (Webwasher-Gateway)
Trojan.Zbot-655 (ClamAV)
Trojan/Spy.Zbot.bcn (TheHacker)
TrojanSpy.Zbot.bcn (CAT-QuickHeal)
W32/Zbot.KU (Norman)
Win32: Zbot-LM (Avast)
http://www.virustotal.com/ru/analisis/7adcbcaf7276aba2badd0fec8c503023

Встречен в темах
http://virusinfo.info/showthread.php?t=21672
http://virusinfo.info/showthread.php?t=21931
http://virusinfo.info/showthread.php?t=21952
http://virusinfo.info/showthread.php?t=22262
http://virusinfo.info/showthread.php?t=23141
http://virusinfo.info/showthread.php?t=23696

Отличия Trojan-Spy.Win32.Zbot.bdg
Дополнительные алиасы
Infostealer.Banker.C (Symantec)
PWS:Win32/Zbot.EQ (Microsoft)
Trojan.NTos.Gen!Pac.3 (VirusBuster)
Trojan.Proxy.2003 (DrWeb)
Trojan.Spy.Wsnpoem.BF (BitDefender)
Trojan.Zbot-666 (ClamAV)
Trojan/Spy.Zbot.bdg (TheHacker)
TrojanSpy.Zbot.bdg (CAT-QuickHeal)
W32/Zbot.OI (Norman)
http://www.virustotal.com/ru/analisis/ce172b550865d124f0a653f4b22448a4

Встречен в темах
http://virusinfo.info/showthread.php?t=21811
http://virusinfo.info/showthread.php?t=22141
http://virusinfo.info/showthread.php?t=22165
http://virusinfo.info/showthread.php?t=22900

Файл на диске
Размер тела 45056 байт + мусор случайного размера

AndreyKa
01.05.2008, 10:14
Алиасы
BlockReason.0 (Webwasher-Gateway)
SHeur.BGTB (AVG)
Trojan:Win32/Delfobfus.A (Microsoft)
Trojan.DL.Win32.Agent.bxw (Rising)
Trojan.Spambot.2496 (DrWeb)
Trojan/Agent.is (TheHacker)
http://www.virustotal.com/ru/analisis/d2ba7432c0a731b49647d4771d30e8d4

Описание
Рассылает спам.

Встречен в темах
http://virusinfo.info/showthread.php?t=21668
http://virusinfo.info/showthread.php?t=21931
http://virusinfo.info/showthread.php?t=21940
http://virusinfo.info/showthread.php?t=22090
http://virusinfo.info/showthread.php?t=22308

Файлы на диске
C:\WINDOWS\temp\winlogon.exe
39424 байт

Способ запуска
Ключ реестра HKEY_USERS, HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Run,
Firewall auto setup

Отличия SpamTool.Win32.Agent.kf
Алиасы
Dropper.BB!tr (Fortinet)
Dropper.Generic.XNM (AVG)
Trojan.DL.Win32.Agent.bxw (Rising)
Trojan.Generic.263079 (BitDefender)
Trojan/Agent.kf (TheHacker)
http://www.virustotal.com/ru/analisis/99f063822c9b170917511eca4a7ef240

Встречен в темах
http://virusinfo.info/showthread.php?t=23113
http://virusinfo.info/showthread.php?t=23115
http://virusinfo.info/showthread.php?t=23125
http://virusinfo.info/showthread.php?t=23158
http://virusinfo.info/showthread.php?t=23696
http://virusinfo.info/showthread.php?t=24021

Отличия SpamTool.Win32.Agent.ki
Дополнительные алиасы
Dropper.Generic.XQM (AVG)
Trojan.Generic.270334 (BitDefender)
http://www.virustotal.com/ru/analisis/a6d0943686844fe56335c20b52435847

Встречен в темах
http://virusinfo.info/showthread.php?t=23175
http://virusinfo.info/showthread.php?t=23208
http://virusinfo.info/showthread.php?t=23241

AndreyKa
01.05.2008, 16:28
Алиасы
Dropper.Agent.HHK (AVG)
Generic9.AUST (Prevx1)
W32/Dropper.LAY (Authentium)
TR/Agent.fwi (AntiVir)
Troj/Drop-M (Sophos)
Trojan.DL.Win32.Small.tqz (Rising)
Trojan.Dropper.Zirit.B (BitDefender)
Trojan.MulDrop.13008 (DrWeb)
Trojan/Downloader.Small.ivo (TheHacker)
TrojanDownloader.Small.ivo (CAT-QuickHeal)
TrojanDropper:Win32/Agent.FYI (Microsoft)
W32/DLoader.GEAG (Norman)
W32/Dropper.LAY (F-Prot)
W32/Small.IVO!tr.dldr (Fortinet)
Win-Trojan/Downloader.10927 (AhnLab-V3)
Win32:Agent-UDD (Avast)
Win32/Pripecs.JK (eTrust-Vet)
Win32/TrojanDropper.Agent.EYA (NOD32v2)
http://www.virustotal.com/ru/analisis/dedc5266963496e7cefc9c87cb379494

Описание
Загружается вредоносной программой Trojan-Downloader.Win32.Small.iuq с сайта void.gribokk.com и запускается на выполнение.

Встречен в темах
http://virusinfo.info/showthread.php?t=20113
http://virusinfo.info/showthread.php?t=21555
http://virusinfo.info/showthread.php?t=21721
http://virusinfo.info/showthread.php?t=22211
http://virusinfo.info/showthread.php?t=22531

Файлы на диске
exe файл, может иметь различные имена и находится в разных папках, например:
C:\Program Files\tmp31968.exe
C:\Program Files\bho.exe
C:\WINX\Temp\mso13.exe
размер может быть различным, так как в конец файла дописывается "мусор".

Способ запуска
В автозапуске отсутствует.

AndreyKa
01.05.2008, 17:08
Алиасы
Backdoor.Hupigon.ADI (BitDefender)
Generic.VDT (AVG)
Trojan.Copyself (DrWeb)
Trojan.Small-4214 (ClamAV)
W32/Perlovg-D (Sophos)
W32/Perlovga.A.1 (AntiVir)
W32/Perlovga.A.worm (Panda)
W32/Perlovga.gen (TheHacker)
Win-Trojan/CopySelf.1211 (AhnLab-V3)
Win32.Perlovga.A.1 (Webwasher-Gateway)
Win32.Stration (eSafe)
Worm.Perlovga.A (VirusBuster)
Worm.Small.z (Rising)
http://www.virustotal.com/ru/analisis/7fecf9152dddd1dd9e914abdfab9675e

Описание
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=161822

Встречен в темах
http://virusinfo.info/showthread.php?t=20496
http://virusinfo.info/showthread.php?t=20508
http://virusinfo.info/showthread.php?t=22099
http://virusinfo.info/showthread.php?t=22155

Файлы на диске
Файл в папке C:\WINDOWS с однимим из имен:
svchost.exe
xcopy.exe
host.exe
copy.exe
Размер 1211 байт.
Копирует себя на сменные накопители под именем copy.exe вместе с файлом autorun.inf для своего автоматического запуска.

AndreyKa
02.05.2008, 10:53
Алиасы
BackDoor.IRC.Nite (DrWeb)
Trj/Downloader.TLU (Panda)
Trojan.Crypt.AO (BitDefender)
W32/Smalltroj.EBAV (Norman)
Win32/VMalum.CRSQ (eTrust-Vet)
http://www.virustotal.com/ru/analisis/e523928a87edb68e3bcfcf72d89d6ff4

Описание
Внедряет свой код в память функционирующего системного процесса svchost.exe. В списке выполняемых процессов отсутствует.

Встречен в темах
http://virusinfo.info/showthread.php?t=22019
http://virusinfo.info/showthread.php?t=22054
http://virusinfo.info/showthread.php?t=22294

Файлы на диске
exe файл в папке C:\WINDOWS\system32, имена могут быть разными:
C:\WINDOWS\system32\6to4svce.exe
C:\WINDOWS\system32\2052m.exe
37888 байт

Способ запуска
Служба. Названия и описания службы могут быть различными, например:
Служба | Описание
CryptSvcMDM | Cryptographic Services CryptSvcMDM
UPSProtectedStorage | Источник бесперебойного питания UPSProtectedStorage
WZCSVCupnphost | Беспроводная настройка WZCSVCupnphost
WmiApSrvLmHosts | WMI Performance Adapter WmiApSrvLmHosts

AndreyKa
03.05.2008, 22:26
Алиасы
a variant of Win32/TrojanProxy.Xorpix (NOD32v2)
Proxy-Agent.ai (McAfee)
Proxy.AASY (AVG)
Trojan-Proxy.Win32.Xorpix.Fam (Sunbelt)
Trojan.Proxy.3093 (DrWeb)
Trojan.Proxy.Xorpix.BS (BitDefender)
Trojan/Proxy.Xorpix.ds (TheHacker)
TrojanProxy:Win32/Xorpix.gen!E (Microsoft)
TrojanProxy.Xorpix.ds (CAT-QuickHeal)
Win32: Xorpix-AZ (Avast)
Win32.Looked.gen (eSafe)
http://www.virustotal.com/ru/analisis/c10873a3369d60e050899571954cc68d

Встречен в темах
http://virusinfo.info/showthread.php?t=21096
http://virusinfo.info/showthread.php?t=21195
http://virusinfo.info/showthread.php?t=21944
http://virusinfo.info/showthread.php?t=22364

Файлы на диске
C:\Documents and Settings\All Users\Документы\Settings\partnership.dll
9235 байт

Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\partnershipreg, DLLName

AndreyKa
10.05.2008, 11:10
Алиасы
Adware/VirtualNetwork (Fortinet)
Trojan.AdVirtualNetwork (DrWeb)
http://www.virustotal.com/ru/analisis/8611e88af146842b4905b985e498d0fa

Описание
Устанавливается вместе с программой Bit Accelerator c сайта letitbit.net

Встречен в темах
http://virusinfo.info/showthread.php?t=22129
http://virusinfo.info/showthread.php?t=22221
http://virusinfo.info/showthread.php?t=22296
http://virusinfo.info/showthread.php?t=22562
http://virusinfo.info/showthread.php?t=22838
http://virusinfo.info/showthread.php?t=22993
http://virusinfo.info/showthread.php?t=23029

Файлы на диске
c:\program files\virtualnetwork\virtualnetwork.dll
185856 байт

Способ запуска
BHO
Описание: VirtualNetwork Dynamic Link Library
Производитель: GemBirdCom (C) 2008
CLSID: {6C517674-DE1C-4493-977C-34A1BFAB35BA}

AndreyKa
10.05.2008, 19:14
Алиасы
Cutwail.dll (McAfee)
Downloader.Agent.AGEP (AVG)
Trj/Downloader.TOU (Panda)
Troj/Pushu-Gen (Sophos)
Trojan.DL.Wigon.Gen.6 (VirusBuster)
Trojan.Downloader-33943 (ClamAV)
Trojan.DownLoader.59496 (DrWeb)
Trojan.Downloader.Agent.ZIS (BitDefender)
Trojan.Win32.Undef.fwg (Rising)
TrojanDownloader:Win32/Cutwail.S (Microsoft)
TrojanDownloader.Agent.nsl (CAT-QuickHeal)
W32/Pushu.NSL!tr (Fortinet)
Win32:Agent-WPZ (Avast)
Win32/Dallerow.C (eTrust-Vet)
Win32/Wigon (NOD32v2)
http://www.virustotal.com/ru/analisis/3ee4d25791271ec192bf41f4e92d6bab

Описание
Защищается драйвером, работающем в режиме ядра со случайным именем из 2-4 букв и двух цифр.
Такой драйвер может детектироваться как Rootkit.Win32.Qandr.s или иначе.
Когда файл winnt32.dll удаляется драйвер восстанавливает его из файла %windir%\system32\WinData.cab
Запись в реестре также восстанавливается им.
http://www.geocities.jp/kiskzo/winnt32.dll.html (англ.)

Встречен в темах
http://virusinfo.info/showthread.php?t=22075
http://virusinfo.info/showthread.php?t=22173
http://virusinfo.info/showthread.php?t=22219
http://virusinfo.info/showthread.php?t=22489
http://virusinfo.info/showthread.php?t=22524
http://virusinfo.info/showthread.php?t=22531
http://virusinfo.info/showthread.php?t=22537
http://virusinfo.info/showthread.php?t=22669
http://virusinfo.info/showthread.php?t=23231
http://virusinfo.info/showthread.php?t=23281
http://virusinfo.info/showthread.php?t=23458

Файлы на диске
C:\WINDOWS\system32\WinNt32.dll
10240 байт

Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinNt32, DLLName
WinNt32.dll

AndreyKa
10.05.2008, 20:15
Алиасы
SHeur.BAQW (AVG)
Trojan.Spambot.3092 (DrWeb)
W32/Socks.af (TheHacker)
W32/Socks.E.worm (Panda)
Win32:Socks-AE (Avast)
Worm.Socks.af (Ewido)
http://www.virustotal.com/ru/analisis/8140e22c1a72e86ac1ddb9f107f9561a

Описание
Распространяется по локальной сети.
При запуске создает файл со случайным именем и расширением syz в системной папке. Этот файл является Rootkit.Win32.Agent.agi (Trojan.NtRootKit.1019).

Встречен в темах
http://virusinfo.info/showthread.php?t=20603
http://virusinfo.info/showthread.php?t=21684
http://virusinfo.info/showthread.php?t=21846
http://virusinfo.info/showthread.php?t=22535
http://virusinfo.info/showthread.php?t=22704

Файлы на диске
C:\WINDOWS\system32\cssrss.exe
29696 байт

Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, WMDM PMSP Service

AndreyKa
17.05.2008, 13:45
Алиасы
Adware/GoodSearchNow (Panda)
Cutwail (McAfee)
SpamBot.G (AVG)
SpamTool.Agent.jn (Not a Virus) (CAT-QuickHeal)
TR/Kobcka.DS (AntiVir)
Trojan.Kobcka.DS (BitDefender)
Trojan.NtRootKit.1070 (DrWeb)
VirTool:WinNT/Cutwail.gen!C (Microsoft)
W32/Dloader.AMT!tr (Fortinet)
W32/Pandex.AI (Norman)
Win32/Cutwail.GH (eTrust-Vet)
http://www.virustotal.com/ru/analisis/18fa1cb67798b1dcd51928d1beee7505

Описание
Функционирует как модуль пространства ядра.

Встречен в темах
http://virusinfo.info/showthread.php?t=22782
http://virusinfo.info/showthread.php?t=22832
http://virusinfo.info/showthread.php?t=22874
http://virusinfo.info/showthread.php?t=22901
http://virusinfo.info/showthread.php?t=23231
http://virusinfo.info/showthread.php?t=23496

Файлы на диске
C:\WINDOWS\System32\drivers\tcpsr.sys
6400 байт
Устанавливается вместе со следущими файлами:
%System%\drivers\{случайные 3 буквы и 2 цифры}.sys - RootKit...
%System%\WinData.cab - Trojan-Downloader.Win32.Mutant...
%System%\WinNt32.dll - Trojan-Downloader.Win32.Mutant...

Способ запуска
Драйвер: tcpsr

AndreyKa
17.05.2008, 23:23
Алиасы
BackDoor.Bulknet.188 (DrWeb)
Scagent.T (AVG)
Trojan-Dropper.Win32.Agent.rek (GData)
Trojan.Dropper.Cutwail.D (BitDefender)
Trojan.Win32.Undef.ghy (Rising)
TrojanDropper:Win32/Cutwail.AA (Microsoft)
TrojanDropper.Agent.rek (CAT-QuickHeal)
W32/Agent.BD.gen!Eldorado (F-Prot)
W32/Agent.FPPA (Norman)
W32/Agent.REK!tr (Fortinet)
Win32/Cutwail (eTrust-Vet)
Win32/Wigon.BY (NOD32v2)
http://www.virustotal.com/ru/analisis/7375324c6135ab3f044560b0175c1c8a

Описание
Распространяется через взломанные web-сайты.
Имеет свойства руткита.
Функционирует как модуль пространства ядра. Запускается и в безопасном режиме загрузки Windows.

Встречен в темах
http://virusinfo.info/showthread.php?t=22695
http://virusinfo.info/showthread.php?t=22746
http://virusinfo.info/showthread.php?t=22779
http://virusinfo.info/showthread.php?t=22832
http://virusinfo.info/showthread.php?t=23076
http://virusinfo.info/showthread.php?t=23429
http://virusinfo.info/showthread.php?t=23475
http://virusinfo.info/showthread.php?t=23843
http://virusinfo.info/showthread.php?t=23850

Файлы на диске
Драйвер в папке C:\WINDOWS\system32\Drivers со случайным именем с двумя цифрами на конце, например:
C:\WINDOWS\System32\drivers\Ubg84.sys
27136 байт
Устанавливается вместе с файлом
%System%\WinNt32.dll - Trojan-Downloader.Win32.Mutant...

Способ запуска
Драйвер. Иногда отсутствует в списке драйверов лога AVZ.

AndreyKa
18.05.2008, 22:27
Алиасы
Trojan.Packed.460, Trojan.Spambot.3251, Trojan.Spambot.3253 (DrWeb)
Trojan.Peed.PJ (BitDefender)
Win32.Email-Worm.Zhelatin.yu.4 (CAT-QuickHeal)
http://www.virustotal.com/ru/analisis/ad693500a8d1cb79d6871d2350465cfa

Встречен в темах
http://virusinfo.info/showthread.php?t=22801
http://virusinfo.info/showthread.php?t=22814
http://virusinfo.info/showthread.php?t=22887
http://virusinfo.info/showthread.php?t=22960
http://virusinfo.info/showthread.php?t=22965
http://virusinfo.info/showthread.php?t=23646

Файлы на диске
C:\WINDOWS\herjek.exe

Способ запуска
Ключ реестра HKEY_USERS,
.DEFAULT\Software\Microsoft\Windows\CurrentVersion \Run, herjek

AndreyKa
20.05.2008, 21:08
Алиасы
Downloader.Generic7.NJL (AVG)
Downloader.Small.vuy (Ewido)
TR/Dldr.Small.vuy (AntiVir)
Trj/Downloader.TRX (Panda)
Trojan.Dldr.Small.vuy (Webwasher-Gateway)
Trojan.DownLoader.60052 (DrWeb)
TrojanDownloader.Small.vuy (CAT-QuickHeal)
W32/Small.VUY!tr.dldr (Fortinet)
http://www.virustotal.com/ru/analisis/d029393851f1173a21115ffe1eb3ab03

Описание
В файле "прямым текстом" указана ссылка на exe-файл на хосте 195.5.116.240, расположенном в Эстонии.

Встречен в темах
http://virusinfo.info/showthread.php?t=22888
http://virusinfo.info/showthread.php?t=22948
http://virusinfo.info/showthread.php?t=23007
http://virusinfo.info/showthread.php?t=23037

Файлы на диске
C:\WINDOWS\system32\subsys.dll
4096 байт

Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\subsys,
DLLName subsys.dll

AndreyKa
24.05.2008, 12:34
Алиасы
Adware/MultimediaDecoder (Panda)
Downloader.Generic7.IZY (AVG)
Druogna (McAfee)
TR/Dldr.Peregar.CG.1 (AntiVir)
Troj/Zlob-AJC (Sophos)
Trojan:Win32/Delflob.I (Microsoft)
Trojan.BHO.OAS (BitDefender)
Trojan.Dldr.Peregar.CG.1 (Webwasher-Gateway)
Trojan.Downloader-33091 (ClamAV)
Trojan.DownLoader.59078 (DrWeb)
Trojan.Fakeavalert (Symantec)
Trojan/Downloader.Peregar.cg (TheHacker)
TrojanDownloader.Peregar.cg (CAT-QuickHeal)
W32/Downldr2.BXCO (F-Prot)
W32/Peregar.CG!tr.dldr (Fortinet)
Win32: Peregar-K (Avast)
Win32/Adware.IeDefender.NDH (NOD32v2)
Win32/Burgspill!generic (eTrust-Vet)
http://www.virustotal.com/ru/analisis/7b68d746e6f0c463d050aaa1e16bd60e

Встречен в темах
http://virusinfo.info/showthread.php?t=21900
http://virusinfo.info/showthread.php?t=21941
http://virusinfo.info/showthread.php?t=22833
http://virusinfo.info/showthread.php?t=23297

Файлы на диске
Имя файла случайное, находиться в папке C:\WINDOWS, например:
C:\WINDOWS\tonsakre.dll
C:\WINDOWS\zsokry.dll
216064 байт

Способ запуска
BHO
CLSID: {95E1D855-9232-48F7-80D9-1ADB65B7939C}

AndreyKa
31.05.2008, 21:10
Алиасы
Downloader.Delf.cxa (Ewido)
GenPack:Generic.Malware.SP!BdldPk!g.1CEB408A (BitDefender)
Mal/Emogen-Y (Sophos)
MalwareScope.Trojan-PSW.Game.14 (VBA32)
SHeur.AAKQ (AVG)
TROJ_DELF.MYR (Trend Micro)
Trojan-Downloader.Win32.Delf.cxa (GData)
Trojan.Downloader-17478 (ClamAV)
Trojan.DownLoader.36467 (DrWeb)
TrojanDownloader.Delf.cxa (CAT-QuickHeal)
W32/Delf.CXA!tr.dldr (Fortinet)
W32/Heuristic-210!Eldorado (F-Prot)
W32/Hupigon.BMSP (Norman)
Win32:Agent-SIM (Avast)
Win32/SillyAutorun.AD (eTrust-Vet)
Worm:Win32/SillyShareCopy.F (Microsoft)
Worm.Win32.AvKiller.ca (Rising)
http://www.virustotal.com/ru/analisis/12bf1318282071b0700ddceb87de3f63

Встречен в темах
http://virusinfo.info/showthread.php?t=20009
http://virusinfo.info/showthread.php?t=20604
http://virusinfo.info/showthread.php?t=23080
http://virusinfo.info/showthread.php?t=23288
http://virusinfo.info/showthread.php?t=23623

Файлы на диске
C:\WINDOWS\system32\MicrSoft.exe
MicrSoft.exe в корне других дисков.
22714 байт

Способ запуска
1. Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, MicrSoft
2. Устанавливается как отладчик процессов различных антивирусов и др. программ.

Внешние проявления (со слов пользователей)
Антивирус не запускается.

Зайцев Олег
31.05.2008, 21:49
Алиасы
Downloader.Delf.cxa (Ewido)
GenPack:Generic.Malware.SP!BdldPk!g.1CEB408A (BitDefender)
Mal/Emogen-Y (Sophos)
MalwareScope.Trojan-PSW.Game.14 (VBA32)
SHeur.AAKQ (AVG)
TROJ_DELF.MYR (Trend Micro)
Trojan-Downloader.Win32.Delf.cxa (GData)
Trojan.Downloader-17478 (ClamAV)
Trojan.DownLoader.36467 (DrWeb)
TrojanDownloader.Delf.cxa (CAT-QuickHeal)
W32/Delf.CXA!tr.dldr (Fortinet)
W32/Heuristic-210!Eldorado (F-Prot)
W32/Hupigon.BMSP (Norman)
Win32:Agent-SIM (Avast)
Win32/SillyAutorun.AD (eTrust-Vet)
Worm:Win32/SillyShareCopy.F (Microsoft)
Worm.Win32.AvKiller.ca (Rising)
http://www.virustotal.com/ru/analisis/12bf1318282071b0700ddceb87de3f63

Встречен в темах
http://virusinfo.info/showthread.php?t=20009
http://virusinfo.info/showthread.php?t=20604
http://virusinfo.info/showthread.php?t=23080
http://virusinfo.info/showthread.php?t=23288
http://virusinfo.info/showthread.php?t=23623

Файлы на диске
C:\WINDOWS\system32\MicrSoft.exe
MicrSoft.exe в корне других дисков.
22714 байт

Способ запуска
1. Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, MicrSoft
2. Устанавливается как отладчик процессов различных антивирусов и др. программ.

Внешние проявления (со слов пользователей)
Антивирус не запускается.
Небольшое дополнение по зверю:
Размер исполняемого файла 22 кб, исполняемый файл упакован.
1. Выполняет через cmd.exe консольную команду date, меняя системную дату на 2005 год. Как известно, лицензии многих антивирусов привязаны к дате и перевод даты на несколько лет назад приводит к блокировке их работы
2. Зловред активирует для своего процесса привилегию SeDebugPrivilege
3. пытается остановить процессы ряда антивирусов - для этого он изучает список запущенных процессов и убивает процессы по именам
4. Создает в корне дисков файлы X:\AutoRun.inf и X:\MicrSoft.exe (MicrSoft.exe - копия исполняемого файла зловреда, в autorun классические строчки типа Shell\Open\Command=MicrSoft.exe и Shell\Explore\Command=MicrSoft.exe)
5. Зловред запускает InternetExplorer, модифицирует память его процесса и модифицирует контекст главного потока IE для запуска своего троянского кода. Аналогичную операцию он делает с svchost.exe. Зловред пытается обмениваться с Инет и загружать файлы (URL уже недоступен)
6. Повреждает параметры загрузки в защищенном режиме, удаляя ряд ключей
7. Регистрирует массу отладчиков процессов, в основном для антивирусов и прочего защитного ПО. Отладчиком он прописывает файл C:\WINDOWS\system32\MicrSoft.exe (это еще одна копия зловреда, он создает ее при запуске)
Исходный файл зловреда после запуска самоуничтожается классическим методом - при помощи BAT файла. В распакованном EXE видна внушительная база данных исполняемых файлов, с которым борется данный зловред.

AndreyKa
03.06.2008, 22:03
Алиасы
BlockReason.0 (Webwasher-Gateway)
Trojan.MulDrop.16286 (DrWeb)
http://www.virustotal.com/ru/analisis/8c3434b4cef6e431aa957312b5b79771

Встречен в темах
http://virusinfo.info/showthread.php?t=23646
http://virusinfo.info/showthread.php?t=23738
http://virusinfo.info/showthread.php?t=23742
http://virusinfo.info/showthread.php?t=23885
http://virusinfo.info/showthread.php?t=23938
http://virusinfo.info/showthread.php?t=23960
http://virusinfo.info/showthread.php?t=24016
http://virusinfo.info/showthread.php?t=24820

Файлы на диске
Файл в папке C:\WINDOWS\Temp с именем NT*.exe, где вместо звёздочки несколько шестнадцатеричных цифр, например:
C:\WINDOWS\Temp\NT11032.exe
C:\WINDOWS\Temp\NT4E32.exe
37376 байт

Способ запуска
Записывает в папки с бараузерами Internet Explorer, Opera и Firefox троянский файл setupapi.dll (Trojan.Win32.Agent.qtj)

AndreyKa
08.06.2008, 21:08
Алиасы
Agent.WGN (AVG)
Trojan:Win32/Chksyn.gen!A (Microsoft)
Trojan.Agent-26275 (ClamAV)
Trojan.Agent.qry (CAT-QuickHeal)
Trojan.PWS.Lich (DrWeb)
Win32/Agent.NWA (NOD32v2)
http://www.virustotal.com/ru/analisis/16b38717f64137a854a394d4e34fda31

Описание
При удалении данного трояна пользователь не сможет войти в систему.
Поэтому, его следует заменить на здоровый файл из папки c:\windows\system32\dllcache

Встречен в темах
http://virusinfo.info/showthread.php?t=23646
http://virusinfo.info/showthread.php?t=23696
http://virusinfo.info/showthread.php?t=23719
http://virusinfo.info/showthread.php?t=23738
http://virusinfo.info/showthread.php?t=23960
http://virusinfo.info/showthread.php?t=24115
http://virusinfo.info/showthread.php?t=24122

Файлы на диске
c:\windows\system32\userinit.exe
32212 байт

Способ запуска
Подменяет собой системный файл userinit.exe, который переименовывается в sdjeavd.tmp

AndreyKa
08.06.2008, 23:21
Алиасы
Agent.WAD (AVG)
TR/Agent.30208 (AntiVir)
Trojan.Agent-26215 (ClamAV)
Trojan.Agent.30208 (Webwasher-Gateway)
Trojan.DownLoader.62734 (DrWeb)
Trojan/Agent.qtj (TheHacker)
http://www.virustotal.com/ru/analisis/06190c990d66e17cfefc6ad500d32fc7

Встречен в темах
http://virusinfo.info/showthread.php?t=23626
http://virusinfo.info/showthread.php?t=23738
http://virusinfo.info/showthread.php?t=23960
http://virusinfo.info/showthread.php?t=24115

Файлы на диске
SETUPAPI.dll в папке браузера, например:
C:\Program Files\Internet Explorer\SETUPAPI.dll
30208 байт

Способ запуска
1. Загружается при старте браузера вместо системной библиотеки SETUPAPI.dll.
2. Прописывает себя как отладчик процесса rundll32.exe:
Debugger = "%ProgramFiles%\Internet Explorer\rundll32 setupapi.dll,s"

AndreyKa
14.06.2008, 23:24
Алиасы
BackDoor.Generic9.ARTE (AVG)
Trojan.Agent.AIVZ (BitDefender)
Trojan.DNSChanger.dqm (CAT-QuickHeal)
Trojan.NtRootKit.1182 (DrWeb)
VirTool:WinNT/Pasich.A (Microsoft)
W32/DNSChanger.BBQY (Norman)
W32/DNSChanger.DQM!tr (Fortinet)
Win32: DNSChanger-VJ (Avast)
http://www.virustotal.com/ru/analisis/f496ca385265389df80698417daa3f80

Встречен в темах
http://virusinfo.info/showthread.php?t=23646
http://virusinfo.info/showthread.php?t=23885
http://virusinfo.info/showthread.php?t=23940
http://virusinfo.info/showthread.php?t=24455
http://virusinfo.info/showthread.php?t=24499

Файл на диске
C:\WINDOWS\system32\Drivers\clbdriver.sys
6656 байт
Также на диске существует файл:
C:\WINDOWS\system32\clbdll.dll
который может детектироваться под разными именами, например:
Rootkit.Win32.Clbd.p
Rootkit.Win32.Clbd.bb
Trojan-Downloader.Win32.Agent.qpq

Способ запуска
Упоминания о данном рутките может отсутствовать в логах AVZ, выполненных согласно Правилам нашего форума.
Обнаружить присутствие данного руткита AVZ может, если установлен драйвер расширенного мониторинга процессов AVZPM.

Внешние проявления (со слов пользователей)
Не запускаются браузеры Opera и Firefox, работает только Internet Explorer.
Обновление антивируса не работает. Сайт антивируса не доступен.

AndreyKa
21.06.2008, 16:37
Алиасы
PSW.Agent.TMB (AVG)
TR/Dldr.Agent.NDX.2 (AntiVir)
Trj/Downloader.TZF (Panda)
Troj/Bckdr-QNZ (Sophos)
Trojan.Dldr.Agent.NDX.2 (Webwasher-Gateway)
Trojan.DownLoader.63153 (DrWeb)
Trojan/Downloader.Agent.nsx (TheHacker)
TrojanDownloader.Agent.nsx (CAT-QuickHeal)
TSPY_AGENT.AGDG (TrendMicro)
W32/Generic.A!tr.dldr (Fortinet)
Win32:Trojan-gen {Other} (Avast)
Win32.Worm.Socks.AT (BitDefender)
Win32/Zalup.AA (NOD32v2)
http://www.virustotal.com/ru/analisis/a12aaf2f7783d0aafcd239271e21359b

Встречен в темах
http://virusinfo.info/showthread.php?t=24176
http://virusinfo.info/showthread.php?t=24394
http://virusinfo.info/showthread.php?t=24402
http://virusinfo.info/showthread.php?t=24612
http://virusinfo.info/showthread.php?t=24669
http://virusinfo.info/showthread.php?t=24677
http://virusinfo.info/showthread.php?t=24679
http://virusinfo.info/showthread.php?t=24737
http://virusinfo.info/showthread.php?t=24806

Файлы на диске
Встречается под разными именами, например:
C:\WINDOWS\system32\explorer.dll
C:\WINDOWS\system32\ftp34.dll
C:\Documents and Settings\Администратор\ftp34.dll
C:\Documents and Settings\User\explorer.dll
4608 байт
Создаётся вредоносными программами:
P2P-Worm.Win32.Socks.ea
P2P-Worm.Win32.Socks.ec
Они могут иметь следующие имена:
C:\Documents and Settings\_Пользователь_\Главное меню\Программы\Автозагрузка\userinit.exe
C:\Documents and Settings\_Пользователь_\svchost.exe
C:\WINDOWS\system32\drivers\services.exe

AndreyKa
22.06.2008, 20:01
Алиасы
TR/Drop.Agent.KCN (AntiVir)
Trojan.DL.Win32.Mnless.ajh (Rising)
Trojan.DownLoader.62860 (DrWeb)
Trojan.Drop.Agent.KCN (Webwasher-Gateway)
Trojan/Downloader.Agent.nzo (TheHacker)
TrojanDownloader.Agent.nzo (CAT-QuickHeal)
W32/Srizbi.BH (Norman)
Win-Trojan/Agent.12800.EH (AhnLab-V3)
http://www.virustotal.com/ru/analisis/15f9ecc00713c5682b25b438181b85b8

Описание
При удалении данного трояна пользователь не сможет войти в систему.
Поэтому, его следует заменить на здоровый файл из папки c:\windows\system32\dllcache
Загружает и запускает вредоносные программы с сайта maseratto.info

Встречен в темах
http://virusinfo.info/showthread.php?t=24679
http://virusinfo.info/showthread.php?t=24680
http://virusinfo.info/showthread.php?t=24737
http://virusinfo.info/showthread.php?t=24754
http://virusinfo.info/showthread.php?t=24768

Файлы на диске
C:\WINDOWS\system32\userinit.exe
12800 байт

Способ запуска
Подменяет собой системный файл userinit.exe, который переименовывается в userini.exe

Внешние проявления
Сам себя не проявляет, но вредоносные программы, которые он скачивает из Интернета и запускает, могут проявлять себя. Например, так:
На рабочем столе появляется надпись:



Warning!
Spyware detected on your computer!
Install an antivirus or spyware remover to
clean you computer.

При этом отключается служба восстановления системы (чтобы удалить все сохранённые состояния) и затем включается и создаётся точка восстановления с именем "Last good restore point".

AndreyKa
12.07.2008, 09:24
Алиасы
Downloader.Generic7.YAV (AVG)
TR/Dldr.FraudLoad.vagw (AntiVir)
TROJ_RENOS.WR (TrendMicro)
Trojan.Dldr.FraudLoad.vagw (Webwasher-Gateway)
TrojanDownloader:Win32/Renos.DG (Microsoft)
TrojanDownloader.FraudLoad.va (CAT-QuickHeal)
Win32/Adware.IeDefender.NGB (NOD32v2)
http://www.virustotal.com/ru/analisis/866b07be5f4b320102bf3a9c857565e1

Описание
При использовании Internet Explorer имитирует сообщения о вирусной атаке и предлагает получить защиту (на самом деле установить троян).


Insecure Internet activity. Threat of virus attack
__________________________________________________ _______
Due to insecure Internet browsing your PC can easily get infected with viruses, worms and trojans without your
...

Кроме того, при посещении страниц в IE и при открытии папок в Проводнике появляется всплывающее окно сообщения с заголовком Critical Error!
Текст сообщения:

Attention, [имя пользователя]! Some dangerous viruses detected in you system. Microsoft Windows XP files corrupted.
This may lead to the destruction of important files in C:\WINDOWS. Download protection software now!
Click OK to download the antispyware. (Recommended)
Если пользователь соглашается, то открывается страница на сайте free-viruscan.com с ложными данными о наличии ошибок и предлагающих скачать антивирус чтобы их исправить.
Фальшивый антивирус загружается с домена getieantivirus.com и на данный момент детектируется как:
ADSPY/AdSpy.Gen (AntiVir)
Trojan:Win32/Delflob.I (Microsoft)
IE Defender-Installer (Sophos)
http://www.virustotal.com/ru/analisis/c672d41c160f15c31961ca3cfd40a77e

Встречен в темах
26099
26111
26188

Файлы на диске
Имена у файла могут быть различные. Например:
C:\WINDOWS\system32\epsonbho.dll
C:\WINDOWS\system32\epsdrv.dll
C:\WINDOWS\system32\epsbho.dll
22528 байт

Способ запуска
BHO
CLSID {87FD33C2-7891-45D5-ACD1-7935F9AEA26B}

Дополнительные алиасы Trojan.Win32.BHO.eya
TR/BHO.eya (AntiVir)
TROJ_FAKEAVALE.L (TrendMicro)
Trojan.BHO.eya (CAT-QuickHeal)
Trojan.Click.19457 (DrWeb)
Trojan.Renos.NDD (BitDefender)
W32/BHO.DPO (Norman)
Win32/Adware.IeDefender.NGG (NOD32v2)
http://www.virustotal.com/ru/analisis/7e1d20d3c307c280be40dc54c6d42980

Встречен в темах
26423
26425
26428
26487

Файлы на диске
Возможны различные названия, например:
C:\WINDOWS\system32\iefltr.dll
C:\WINDOWS\system32\iexp_f.dll
20992 байт

Способ запуска
BHO
CLSID {8B2AE9C0-1555-4C92-905A-531532F15698}

Дополнительные алиасы Trojan-Downloader.Win32.BHO.qb
BHO.FEW (AVG)
TR/Dldr.BHO.QB (AntiVir)
TROJ_DLOADER.KRK (TrendMicro)
Troj/Istbar-DY (Sophos)
Trojan.BHO-3834 (ClamAV)
Trojan.Dldr.BHO.QB (Webwasher-Gateway)
Trojan.Fakealert.1187 (DrWeb)
Trojan.Fakeavalert (Symantec)
Trojan.Win32.Downloader.20480.HL (ViRobot)
Trojan.Zlob.CQJ (BitDefender)
TrojanDownloader.BHO.qb (CAT-QuickHeal)
W32/Zlob.CDZP (Norman)
Win32/Adware.IeDefender.NGT (NOD32v2)
http://www.virustotal.com/ru/analisis/da51b2ee735be27861aef8f56f9b8ec2

Описание
Теперь в окне Internet Explorer отображается такое сообщение с сайта free-viruscan.com:


Warning - you are infected by this site! Please, read our suggestions!

You can learn more about harmful web content and protect your computer at Internet Explorer Antivirus.
Just download IE Antivirus Now and Protect your Business forever!


Встречен в темах
27901
27977
27980
28119

Файлы на диске
Имя файла может быть различным:
C:\WINDOWS\system32\gtbl.dll
C:\WINDOWS\system32\g2tbl.dll
20480 байт

Способ запуска
BHO GTool
CLSID: {53322B35-2C26-4FAC-A713-C31BBAA1C636}

AndreyKa
05.08.2008, 21:34
Алиасы
Adware.XMLMime.1 (DrWeb)
Adware.XmlMimeFilter.85504 (ViRobot)
Generic3.IIY (AVG)
TR/BHO.Agent.85504 (AntiVir)
Trojan.Adclicker (Symantec)
Trojan.BHO.Agent.85504 (Webwasher-Gateway)
Win32/Adware.Agent.NJB (NOD32v2)
http://www.virustotal.com/ru/analisis/c433b44805afb00759bc2d8cf561787d

Описание
В файле зашиты два списка имен доменов. Первый:


yandex.ru
rambler.ru
google.com
mail.ru
google.ru
vkontakte.ru
odnoklassniki.ru
И второй, скорее всего, как источник фальшивых данных для искажения работы сайтов из первого списка:


01searchfeed.ru
allfindz.ru
allianzoo.ru
beefunny.ru
cangomors.ru
partymotex.ru
sites-obzor.ru
site-ortek.ru
v-cataloge.ru
www.4-seacher.ru

Встречен в темах
26789
27123
27180
27490
27717

Файлы на диске
C:\windows\twain_8.dll
85504 байт

Способ запуска
Protocol
Описание: DLL Module (XMLMimeFilter MIME Filter Sample)
CLSID: {53B95211-7D77-11D2-9F80-00104B107C96}
Файл: C:\windows\twain_8.dll

AndreyKa
19.08.2008, 22:07
Алиасы
TR/Agent.zdw (AntiVir)
Trojan.Agent.zdw (CAT-QuickHeal)
Trojan.Packed.573 (DrWeb)
Trojan.Win32.Agent.43008.O (ViRobot)
W32/Agent.ZDW!tr (Fortinet)
Win-Trojan/Proxy.43008.B (AhnLab-V3)
http://www.virustotal.com/ru/analisis/af45d51f7671ff65e7df3444e75c6ba8

Описание
Может запускаеть несколько своих процессов.
Останавливает службы "Центр обеспечения безопасности" и "Брандмауэр Windows".
Добавляет себя в список исключений Брандмауэра Windows.
Способен отправлять сообщения по электронной почте.
В файле пристствуют IP адреса 192.168.1.164, 206.137.17.89, 66.232.109.178 и 209.20.130.33.

Встречен в темах
28227
28288
28324
28440
28506

Файлы на диске
C:\WINDOWS\services.exe
43008

Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, services
C:\WINDOWS\services.exe

AndreyKa
20.08.2008, 21:08
Алиасы
Antivirus2008.DO (Norman)
Backdoor.Win32.Frauder.r (GData)
Hoax.Win32.AntivirusXP (VBA32)
MemScan:Trojan.FakeAlert.AAH (BitDefender)
SHeur.CDJI (AVG)
TR/Fakealert.aah.9 (AntiVir)
Trj/Banker.FWD (Panda)
Trojan.Blusod (Symantec)
Trojan.Fakealert.aah.9 (Webwasher-Gateway)
Trojan.Packed.600 (DrWeb)
TrojanBanker.Banker.uvo (CAT-QuickHeal)
TrojanDownloader:Win32/Renos.gen!AU (Microsoft)
W32/Banker.UVO!tr (Fortinet)
Win-Trojan/FakeAV.194560 (AhnLab-V3)
http://www.virustotal.com/ru/analisis/ef77c288995fc2bdd11ee1b5aa9f7c4e

Описание
Копирует себя в системую папку Windows.
Прописывается в реестре для автозагрузки.
Устанавливает в качестве фона рабочего стола картинку с надписью:



Warning!
Spyware detected on you computer!

Install an antivirus or spyware to clean your computer


Warning! Win32/Adware.Virtumode
Detected on you computer

Warning! Win32/PrivacyRemover.M64
Detected on you computer

Устанавливает в качестве хранителя экрана имитацию BSOD (синий экран).
Удает все сохранённые точки восстановления и затем создаёт точку восстановления с именем "Last good restore point" (она содержит в себе данный троян).
В файле присутствуют следующие имена доменов:


odnoklassniki.ru
vkontakte.ru
google.ru
statsbank.com
boards.cexx.org
adultwebmasterinfo.com
dialerschutz.de
webmasterworld.com
crutop.nu
gofuckyourself.com
santa-inbox.com


Встречен в темах
28328
28355
28440

Файлы на диске
c:\windows\system32\lphc_набор_букв_и_цифр_.exe
194560 байт

Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, lphc1j5j0e3gd
C:\WINDOWS\system32\lphc1j5j0e3gd.exe
(Прим.: имена файла и ключа будут другие)

Внешние проявления (со слов пользователей)
На рабочем столе появилось изображение с надписью "Warning! Spyware detected on your computer!..." на белом фоне, в свойствах рабочего стола исчезли вкладки "Рабочий стол" и "Заставка".

Алиасы Backdoor.Win32.Frauder.bu
BDS/Frauder.bu (AntiVir)
Downloader-ASH.gen.b (McAfee)
Downloader.FraudLoad.N (AVG)
TROJ_FAKEALER.OE (TrendMicro)
Trojan.Backdoor.Frauder.bu (Webwasher-Gateway)
Trojan.FakeAlert.ACR (BitDefender)
Trojan.Packed.619 (DrWeb)
Trojan.Win32.Packed.203776 (ViRobot)
W32/Tibs.gen225 (Norman)
Win32:Tibs-EJA (Avast)
http://www.virustotal.com/ru/analisis/b77911ddff8f9c5837c9503f1dd40a30

Встречен в темах
28948
28984
29008
29010
29036
29059
29068
29142
29182
29250

Файл на диске
203776 байт

Алиасы Backdoor.Win32.Frauder.fk
BDS/Frauder.FJ (AntiVir)
Downloader.Generic7.AOUH (AVG)
TROJ_FAKEAV.HP (TrendMicro)
Trojan.FakeAlert.AEZ (BitDefender)
Trojan.Packed.636 (DrWeb)
TrojanDownloader:Win32/Renos.AS (Microsoft)
W32/ASH.FJ!tr.bdr (Fortinet)
W32/DLoader.JNTL (Norman)
Win-Trojan/Fakeav.199168.G (AhnLab-V3)
Win32.Backdoor.Frauder.fk.4 (CAT-QuickHeal)
Win32/Bugnraw.KS (eTrust-Vet)
Win32/TrojanDownloader.FakeAlert.JP (NOD32v2)
http://www.virustotal.com/ru/analisis/d003731704b3f10d134a194ff4e61825

Отличия Backdoor.Win32.Frauder.fk
В файле присутствуют следующие имена доменов:
av-xp2008.com
presents.avxp2008.com
youpornztube.net

Встречен в темах
30163
30178
30198
30225
30268
30279
30298
30303
30318
30347
31122
31492

Файл на диске
199168 байт

AndreyKa
30.08.2008, 21:04
Алиасы
TR/PSW.Agent.knw (AntiVir)
Trojan.BHO.gcs (CAT-QuickHeal)
Trojan.Click.20003 (DrWeb)
Trojan.PSW.Agent.knw (Webwasher-Gateway)
Trojan.Win32.BHO.249856 (ViRobot)
Trojan/BHO.gcs (TheHacker)
Win-Trojan/Bho.249856 (AhnLab-V3)
http://www.virustotal.com/ru/analisis/a94cdd71dc8c0b0b915c3ecafcb04ebe

Встречен в темах
28396
28442
28499
28651
28755
28850
28980
29129
29218
29453

Файлы на диске
C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
249856 байт
Также возможно присутствие вредоносных файлов:
C:\WINDOWS\SYSTEM32\VIDEO.sys
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\winhelp32.exe
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp

Способ запуска
1. Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
Значение: C:\WINDOWS\SYSTEM32\vmmreg32.dll
2. BHO {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}
C:\WINDOWS\system32\vmmreg32.dll
3. AppInit_DLLs: vmmreg32.dll

AndreyKa
07.09.2008, 17:01
Алиасы
PSW.Generic6.YOJ (AVG)
TR/Spy.ZBot.eev.4 (AntiVir)
Trojan.Proxy.3780 (DrWeb)
Trojan.Spy.ZBot.eev.4 (Webwasher-Gateway)
Trojan.Spy.ZBot.JR (BitDefender)
W32/Zbot.AXZ (Norman)
http://www.virustotal.com/ru/analisis/06d1095f77997b4c62be8e4aff2a976c

Описание
При запуске троян прописывет свою автоматическую загрузку в реестре, подключается к серверу с адресом 195.2.252.33 и скачивает зашифрованный файл.
Данный сервер находится в сети провайдера Madet Ltd. г. Москва.
В данный момент на нём также выложены другие вредоносные файлы:
1.exe = Trojan.Srizbi.Dropper.1.Gen
2.exe = Rootkit.Win32.Agent.cun (Trojan.Proxy.3541)

Встречен в темах
28621
28898
28948
29172
29221
29324
29542

Файлы на диске
С:\WINDOWS\system32\oembios.exe
размер файла в пределах ~100-600 КБ.

Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon
UserInit=C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\oembios.exe,

Внешние проявления (со слов пользователей)
Компьютер перезагружается после входа пользователя в нормальном режиме загрузки Windows.

AndreyKa
14.09.2008, 13:51
Алиасы
Adware.Agent.ZO (PCTools)
Adware.Bravia.Gen!Pac.2 (VirusBuster)
Backdoor.Agent.ZQB (BitDefender)
Backdoor.Small.ejx (CAT-QuickHeal)
Backdoor.Small.eug (Ewido)
Backdoor.Win32.Small.6144.F (ViRobot)
Backdoor.Win32.Small.ejx (K7AntiVirus)
Backdoor/Small.eug (TheHacker)
TROJ_AGENT.AEUM (TrendMicro)
Trojan.Proxy.1739 (DrWeb)
Trojan.Virantix.C (Symantec)
Trojan.Win32.Undef.krb (Rising)
TrojanDownloader:Win32/Eldycow.gen!A (Microsoft)
W32/Backdoor2.CCYP (F-Prot)
W32/Small.EU!tr.dldr (Fortinet)
W32/Smalldoor.BZKQ (Norman)
Win-Trojan/Agent.6144.HK (AhnLab-V3)
Win32/Eldycow.EL (eTrust-Vet)
Win32/TrojanDownloader.Agent.OBD (NOD32v2)
http://www.virustotal.com/ru/analisis/a01df32955ec68e9e6fe3b99461de96e

Встречен в темах
28722
29426
29657
29693
29716
29743
29766
29857
29858
29889
29929
29955
29972
29986
30174
31021
31219

Файлы на диске
C:\WINDOWS\system32\karina.dat
6144 байт

Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
C:\WINDOWS\system32\karina.dat

Дополнительные алиасы Backdoor.Win32.Small.gjm
Backdoor.Agent.ZWW (BitDefender)
Trj/Downloader.MDW (Panda)
TROJ_VIRANTIX.BF (TrendMicro)
Trojan.Perfcoo!sd6 (PCTools)
W32/Agent.AEUM!tr (Fortinet)
W32/DLoader.KBCH (Norman)
Win32/SillyDl.FQJ (eTrust-Vet)
http://www.virustotal.com/ru/analisis/eb9f7f2780c14b83a07ca86f1937a6e5

Встречен в темах
31541
31868
31892
32250
32314
32456
32505
32512
32609
32680
32736
32754
32863
32969
32991
33047

Файл на диске
C:\WINDOWS\system32\karna.dat

AndreyKa
28.09.2008, 23:17
Алиасы
Adware.XPSecurityCenter.R.10240 (ViRobot)
Aplicacion/XPSecurityCenter.ai (TheHacker)
Dropper.Bravix.A (AVG)
Misc/XPSecurityCenter (Fortinet)
Packer.Malware.Lighty.F (BitDefender)
TR/Dldr.FakeAler.FM (AntiVir)
TROJ_MALBEHV.MCS (TrendMicro)
Trojan.Dldr.FakeAler.FM (SecureWeb-Gateway)
Trojan.Packed.612 (DrWeb)
Trojan.Virantix.C (Symantec)
Trojan.Zlob.Gen!Pac.54 (VirusBuster)
TrojanDownloader:Win32/Renos (Microsoft)
W32/Lighty.B (Norman)
Win32:Bravix (Avast)
Win32/FakeAVDl.Z (eTrust-Vet)
Win32/TrojanDownloader.FakeAlert.GU (NOD32)
http://www.virustotal.com/ru/analisis/69ff6b8ede23794abfe48193ca7adcdf

Описание
Показывает в трее красный круг с белым иксом.
Показывает всплывающее сообщение:


You computer is infected!

Windows has detected spyware infection!

It is recommended to use special antispyware tools to prevent
data loss.Windows will now download and install the most
up-to-date antispyware for you.

Click here to protect you computer from spyware!

Устанавливает http://www.google.com как стартовую страницу Internet Explorer.
Включает использование элементов ActiveX не помеченных как безопасные.
Отключает сообщения Центра Безопасности Windows о выключенном Брандмауэре, антивирусе и Автоматическом обновлении Windows.
Содержит имена доменов:
antispyware-quick-scan.com
antivirus-quick-scan.com
spyware-quickscan-2008.com
spyware-quickscan-2009.com
virus-quickscan-2008.com
virus-quickscan-2009.com

Встречен в темах
29858
29905
29911
29929
29955
29986
30283

Файлы на диске
C:\WINDOWS\system32\buritos.exe
C:\WINDOWS\system32\braviax.exe
c:\windows\buritos.exe
10240 байт

Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, braviax
C:\WINDOWS\system32\braviax.exe
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, braviax
C:\WINDOWS\system32\braviax.exe
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, buritos
C:\WINDOWS\system32\buritos.exe

Дополнительные алиасы Hoax.Win32.Bravia.ir
Adware/RogueAntimalware2008 (Panda)
Backdoor.Tidserv (Symantec)
Hoax.Antivirus2008.Do.9216 (ViRobot)
Hoax.Bravia.ir (CAT-QuickHeal)
Hoax.Win32.Renos.vazk (VBA32)
TROJ_FAKEALER.NP (TrendMicro)
http://www.virustotal.com/ru/analisis/5b021c2b06d5c2d400fa7aeaeb95388a

Встречен в темах
29633
29657
29716
29743
29875
29889
29972
31217
31219

Файл на диске
9216 байт

AndreyKa
05.10.2008, 21:05
Алиасы
PSW.Generic6.AFNB (AVG)
PWS:Win32/Zbot.MW (Microsoft)
Trojan.PWS.Panda.18 (DrWeb)
TrojanSpy.Zbot.fah (CAT-QuickHeal)
TSPY_ZBOT.MCS (TrendMicro)
W32/Zbot.BGI (Norman)
Win32: Zbot-APE (Avast)
http://www.virustotal.com/ru/analisis/49cc4383676973ad6884f77a4db53e19

Описание
Копирует себя в системную папку.
Прописывает себя в реестр для автозагрузки.
Пытается похитить ключи и пароли к сайту интернет-банкинга faktura.ru
Подключается к серверу с адресом 195.2.252.33 и скачивает зашифрованный файл.
Сервер 195.2.252.33 в данный момент распространяет новую версию данного трояна:
http://www.virustotal.com/ru/analisis/188e1f3f7cd33c56be26d7e03517b46d

Встречен в темах
30779
30972
31026
31095
31391

Файлы на диске
C:\WINDOWS\system32\twext.exe
C:\WINDOWS\system32\twext.ex_
К телу размером 55296 байт дописано до нескольких сотен килобайт "мусора".

Способ запуска
Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
C:\WINDOWS\system32\twext.exe
C:\WINDOWS\system32\twext.ex_

AndreyKa
07.10.2008, 19:06
Алиасы
Agent.ADDO (AVG)
BackDoor.Bulknet.237 (DrWeb)
Mal/Pushdo-A (Sophos)
TR/Agent.aeuz.4 (AntiVir)
Trj/Downloader.MDW (Panda)
Trojan:Win32/Meredrop (Microsoft)
Trojan.Agent.aeuz.4 (SecureWeb-Gateway)
Trojan.DR.Pandex.Gen.6 (VirusBuster)
Trojan.Generic.747469 (BitDefender)
Trojan.Win32.Agent.22528.Y (ViRobot)
W32/Agent.AEUZ!tr (Fortinet)
Win-Trojan/Agent.22528.IX (AhnLab-V3)
http://www.virustotal.com/ru/analisis/0cea21e20b851dc8e25581c4c26a00c9

Описание
Обращается к web серверам американского провайдера McColo (адреса: 208.66.192.0 - 208.66.195.255), на которых находятся многочисленные вредоносные программы.

Встречен в темах
30956
31047
31285
31551

Файлы на диске
C:\WINDOWS\System32\rs32net.exe
22528 байт

Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, rs32net
C:\WINDOWS\System32\rs32net.exe

AndreyKa
09.10.2008, 00:04
Алиасы
BackDoor.Bulknet.264 (DrWeb)
Trj/Downloader.MDW (Panda)
Trojan.Agent.afkj (CAT-QuickHeal)
Trojan.Crypt.LooksLike.XPACK (SecureWeb-Gateway)
TrojanDownloader:Win32/Cutwail.AA (Microsoft)
http://www.virustotal.com/ru/analisis/db29368b673a9740f0b17e03bcc376ca

Описание
Останавливает службы Брандмауэр и Центр безопасности Windows.
Отключает Брандмауэр Windows через политики и отключает мониторинг состояния Брандмауэра Windows в Центре безопасности Windows.
Открывает порт 1060 TCP.
В теле трояна присутствуют IP адреса 209.20.130.33 и 66.232.118.207.
Способен отправлять электронную почту (SPAM).

Встречен в темах
31408
31577
31638

Файлы на диске
c:\windows\services.exe
40448 байт

Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, services
C:\WINDOWS\services.exe

AndreyKa
09.10.2008, 17:13
Алиасы
Agent.ADTD (AVG)
TR/Agent.afic.1 (AntiVir)
Trj/Downloader.MDW (Panda)
Trojan.Agent.afic.1 (SecureWeb-Gateway)
Trojan.DownLoad.5244 (DrWeb)
W32/Agent.AFIC!tr (Fortinet)
W32/Agent.IRCJ (Norman)
Win32/Spy.Agent.NJL (NOD32)
http://www.virustotal.com/ru/analisis/49f7abda9a9488c47019424f19bcbb1a

Описание
"Шпионит" за программами explorer.exe, webmoney.exe, iexplore.exe, opera.exe и firefox.exe.

Встречен в темах
31157
31477
31624

Файлы на диске
C:\WINDOWS\system32\msvcrt57.dll

Способ запуска
Подменяет в реестре Windows стандартный модуль webcheck.dll:
1.Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\ShellSer viceObjectDelayLoad, WebCheck
2.Модуль расширения проводника
Имя: WebCheck
CLSD: {E6FB5E20-DE35-11CF-9C87-00AA005127ED}
Файл: C:\WINDOWS\system32\msvcrt57.dll

AndreyKa
11.10.2008, 14:21
Алиасы
RootKit.Win32.Undef.rx (Rising)
Spammer:WinNT/Srizbi.gen!B (Microsoft)
Trj/Pakes.EB (Panda)
Trojan.Generic.753846 (BitDefender)
Trojan.Pakes!sd6 (PCTools)
Trojan.Pakes.kmn (CAT-QuickHeal)
Trojan.Sentinel.based (DrWeb)
W32/Smalltroj.HJSV (Norman)
Win32:Agent-ABJY (Avast)
Win32/Srizbi.NBP (NOD32)
http://www.virustotal.com/ru/analisis/1ed4fa6bbdc2bd988616b5e1ac5c0892

Описание
Попадает на компьютер, как правило, через СПАМ со ссылокой на выполняемый файл (e-card.exe).
Руткит. Функционирует как модуль пространства ядра.

Встречен в темах
30643
30972
31439
31747

Файлы на диске
Файл с расширением sys в папке C:\WINDOWS\system32\Drivers со случайным именем из 8 латинских символов.
178176 байт

Способ запуска
Драйвер с именем как у файла (случайное).

Внешние проявления (со слов пользователей)
Работа компьютера заторможенна.

AndreyKa
24.10.2008, 04:00
Алиасы
Downloader.Generic7.BCEZ (AVG)
TR/Crypt.GU.22 (AntiVir)
Trojan.Crypt.GU (BitDefender)
Trojan.Crypt.GU.22 (SecureWeb-Gateway)
Trojan.PWS.Siggen.22 (DrWeb)
Trojan.Win32.Downloader.16896.ACL (ViRobot)
TrojanDownloader:Win32/Bofang.B (Microsoft)
TrojanDownloader.Delf.phh (CAT-QuickHeal)
W32/Delf.CRNA (Norman)
W32/Delf.PHH!tr.dldr (Fortinet)
http://www.virustotal.com/ru/analisis/897849cb479ad790713efea36329fe9c

Описание
Записывает свою копию в файл %USERPROFILE%\Application Data\Adobe\Player.exe
В файле присутствуют URL c IP адресами 78.157.143.163 и 91.203.93.6.
По этим адресам расположены списки URL exe-файлов.
Дополнительно встречаются IP адреса 78.157.143.198 и 78.157.142.26.
Троян использует службу Windows BITS для загрузки файлов.
В данный момент упомянутые файлы детектируются антивирусом Касперского так:
Backdoor.Win32.Frauder.mb
Backdoor.Win32.Frauder.mo
Backdoor.Win32.Frauder.mr
Backdoor.Win32.Frauder.mu
Backdoor.Win32.Frauder.mv
Backdoor.Win32.Frauder.nc
Backdoor.Win32.Frauder.nd
Backdoor.Win32.TDSS.aao
Backdoor.Win32.TDSS.anp
Trojan-Downloader.Win32.Agent.ajnq

Встречен в темах
32407
32424
32453

Файлы на диске
C:\WINDOWS\system32\rgdam.exe
16896 байт

Способ запуска
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run
Player = "%AppData%\Adobe\Player.exe"

AndreyKa
26.10.2008, 00:57
Алиасы
Adware.XPSecurityCenter.R.72660.G (ViRobot)
Downloader.MisleadApp (Symantec)
FraudTool.XPSecurityCenter.be (Not a Virus) (CAT-QuickHeal)
Generic3.YJG (AVG)
PHISH/Fraud.XPSecurityCenter.BE (AntiVir)
Trojan.Fakealert.1629 (DrWeb)
TrojanDownloader:Win32/FakeRean.gen!B (Microsoft)
W32/Behav-Heuristic-060 (TheHacker)
W32/FakeAV.EJ (F-Prot)
Win32:FraudLoad-SB (Avast)
Win32/Adware.XPAntiSpyware.AA (NOD32)
Win32/FakeAlert.HT (eTrust-Vet)
http://www.virustotal.com/ru/analisis/e4aa78ef8f3a75b42bccea2be8bb9c80

Описание
Скачивает с сайта downloadsoftindex.com и запускает программу XP Antispyware 2009(Trojan.Win32.FraudPack.gju), имитирующую работу антишпионской программы. XP Antispyware 2009 находит не существующие вредоносные файлы и предлагает зарегистрироваться на сайте xpas2009.com за 50$ для того чтобы удалить их (на следующей странице уже указана другая цена - $75.95).

Встречен в темах
32446
32456
32505
32856
33185

Файлы на диске
C:\WINDOWS\system32\wini10806.exe (цифры в имени случайные)
C:\Program Files\XP_AntiSpyware\Uninstall.exe
72660 байт

AndreyKa
02.11.2008, 01:58
Алиасы
Downloader.MisleadApp (Symantec)
Downloader.Zlob.AEXO (AVG)
OScope.Downloader.Braviax.3 (VBA32)
Packer.Malware.Lighty.I (BitDefender)
Spyware.Pakes.9728.B (ViRobot)
TR/Pakes.lel (AntiVir)
TROJ_PAKES.GA (TrendMicro)
Trojan-Downloader.MisleadApp!sd6 (PCTools)
Trojan:Win32/Renos.I (Microsoft)
Trojan.Click.19754 (DrWeb)
Trojan.Pakes.lel (CAT-QuickHeal)
Trojan.Renos.ATC (VirusBuster)
W32/FakeAlert.LEL!tr (Fortinet)
W32/Lighty.E (Norman)
Win-Trojan/Pakes.9728.G (AhnLab-V3)
Win32: Lighty-B (Avast)
Win32/FakeAlert.HU (eTrust-Vet)
http://www.virustotal.com/ru/analisis/f3717fbb05b9157b648515259ec89c0b

Описание
Показывает в трее красный круг с белым иксом.
Показывает всплывающее сообщение:


You computer is infected!

Windows has detected spyware infection!

It is recommended to use special antispyware tools to prevent
data loss.Windows will now download and install the most
up-to-date antispyware for you.

Click here to protect you computer from spyware!

Устанавливает http://www.google.com как стартовую страницу Internet Explorer.
Включает использование элементов ActiveX не помеченных как безопасные.
Отключает сообщения Центра Безопасности Windows о выключенном Брандмауэре, антивирусе и Автоматическом обновлении Windows.
Содержит имена доменов:
do-scan-progress.com
do-make-progress.com
do-progress.com
do-managed-scan.com
do-power-scan.com
do-step-scan.com
do-monster-progress.com
do-monsterscan.com
do-powerscan.com
do-stepscan.com
domonster-progress.com
domonster-scan.com
dopower-scan.com
dostep-scan.com
Обращяется к одному из них и получает переадресацию на файл Installer.exe (Trojan.Packed.1214) на сайте xpas-2009.com.
Сохраняет его под именем C:\WINDOWS\system32\wini10541.exe и запускает.
Последний в свою очередь закачивает и запускает фальшивый антивирус XP Antispyware 2009 c сайта download-soft-index.com.

Встречен в темах
32270
32505
32512
32609

Файл на диске
c:\windows\system32\brastk.exe
9728 байт

Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run,
Ключ реестра HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion \Run,
brastk = c:\windows\system32\brastk.exe

Дополнительные алиасы FraudTool.Win32.XPSecurityCenter.bn
Adware.XPSecurityCenter.R.10752.B (ViRobot)
Misc/XPSecurityCenter (Fortinet)
Packer.Malware.Lighty.N (BitDefender)
SHeur.CQPD (AVG)
TROJ_VIRANTIX.CX (TrendMicro)
Trojan-Downloader.Win32.Braviax.gf (VBA32)
Trojan.Fakealert.1671 (DrWeb)
Trojan.Virantix!sd6 (PCTools)
Trojan.Virantix.C (Symantec)
TrojanDownloader:Win32/Renos (Microsoft)
W32/FakeAlert.ET (F-Prot)
W32/Virantix.HJ (Norman)
Win32: Lighty-B (Avast)
Win32/FakeAlert.IJ (eTrust-Vet)
Win32/TrojanDownloader.FakeAlert.GU (NOD32)
http://www.virustotal.com/ru/analisis/26722ff719440efecd9f0de8329dc1ba

Встречен в темах
32714
32736
32849
32856

Файл на диске
c:\windows\system32\brastk.exe
10752 байт