Просмотр полной версии : Актуальные зловреды
AndreyKa
05.01.2008, 15:00
Trojan-PSW.Win32.OnLineGames.mze
Здесь и далее во всех заголовках сообщений имя по классификации антивируса Касперского.
Алиасы
Packer.Malware.NSAnti.J (BitDefender)
VirTool:Win32/Obfuscator!Mal (Microsoft)
Troj/Lineag-Gen (Sophos)
Infostealer.Gampass (Symantec)
Встречен в темах
http://virusinfo.info/showthread.php?t=15961
http://virusinfo.info/showthread.php?t=15971
http://virusinfo.info/showthread.php?t=16675
Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
semo2x.exe и autorun.inf - на всех дисках в корневой папке
Способ запуска
1. Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
Внешние проявления (со слов пользователей)
Cкрытые файлы не показывает и диски при двойном клике открываются в новом окне.
AndreyKa
06.01.2008, 17:41
Алиасы
Trojan.Patched.AU (BitDefender)
Встречен в темах
http://virusinfo.info/showthread.php?t=15945
http://virusinfo.info/showthread.php?t=15997
http://virusinfo.info/showthread.php?t=15929
http://virusinfo.info/showthread.php?t=16014
http://virusinfo.info/showthread.php?t=16026
http://virusinfo.info/showthread.php?t=16060
http://virusinfo.info/showthread.php?t=16076
http://virusinfo.info/showthread.php?t=16088
http://virusinfo.info/showthread.php?t=16290
http://virusinfo.info/showthread.php?t=17178
Файлы на диске
Модифицированный (патченный) системный файл
C:\WINDOWS\system32\svchost.exe
Этот файл нельзя удалять!!!
Его нужно заменить на чистый:
1) Записать чистый svchost.exe в папку C:\WINDOWS\system32\dllcache, затерев существующий.
2) Переименовать файл C:\WINDOWS\system32\svchost.exe например в svchost.vir
3) Записать чистый svchost.exe в папку C:\WINDOWS\system32\
4) Перезагрузить компьютер.
Или вылечить антивирусом Касперского.
Способ запуска
Запускается как системный файл, но в отличии от оригинального загружает библиотеку MSCORE.DLL в которой находится троян ( например Trojan.Win32.Small.yd )
Внешние проявления (со слов пользователей)
Исходящий траффик в два раза больше входящего.
Если удален файл MSCORE.DLL, то Windows при запуске задумывается на пару минут (индикатор диска при этом не горит) и загружается. Но все службы, связанные с svchost.exe не запускаются, не работает сеть.
AndreyKa
06.01.2008, 18:20
Алиасы
ADSPY/Bitaccel.A (AntiVir)
Adware Generic2.PHX (AVG)
Adware.Generic.9029 (BitDefender)
AdWare.BHO.cc (CAT-QuickHeal)
Adware.BHO-50 (ClamAV)
Adware.BitAcc (DrWeb)
W32/Adware.YIH (F-Prot)
Adware/BHO.L (Panda)
BitAccelerator (Sophos)
Adware.BHO.PW (VirusBuster)
Встречен в темах
http://virusinfo.info/showthread.php?t=15520
http://virusinfo.info/showthread.php?t=15997
http://virusinfo.info/showthread.php?t=16014
http://virusinfo.info/showthread.php?t=16094
http://virusinfo.info/showthread.php?t=16128
http://virusinfo.info/showthread.php?t=16315
http://virusinfo.info/showthread.php?t=16551
http://virusinfo.info/showthread.php?t=16814
http://virusinfo.info/showthread.php?t=16980
http://virusinfo.info/showthread.php?t=17187
http://virusinfo.info/showthread.php?t=17315
http://virusinfo.info/showthread.php?t=17588
Файлы на диске
C:\Program Files\BitAccelerator\BitAccelerator.dll
C:\Program Files\BitAccelerator\BitAccelerator.exe
Способ запуска
C:\Program Files\BitAccelerator\BitAccelerator.dll BHO {92860A02-4D69-48c1-82D7-EF6B2C609502}
AndreyKa
07.01.2008, 02:57
Алиасы
ADSPY/Bho.IC.25 (AntiVir)
Adware Generic2.UFT (AVG)
Adware.BitAcc (DrWeb)
W32/Adware.AAQX (F-Prot)
Adware/BHO.L (Panda)
BitAccelerator (Sophos)
Встречен в темах
http://virusinfo.info/showthread.php?t=15520
http://virusinfo.info/showthread.php?t=16014
http://virusinfo.info/showthread.php?t=16048
http://virusinfo.info/showthread.php?t=16094
http://virusinfo.info/showthread.php?t=16128
http://virusinfo.info/showthread.php?t=16315
http://virusinfo.info/showthread.php?t=16511
http://virusinfo.info/showthread.php?t=16814
http://virusinfo.info/showthread.php?t=16980
http://virusinfo.info/showthread.php?t=17315
http://virusinfo.info/showthread.php?t=17588
http://virusinfo.info/showthread.php?t=18194
Файлы на диске
C:\Program Files\BitAccelerator\BitAccelerator.dll
Способ запуска
C:\Program Files\BitAccelerator\BitAccelerator.dll BHO {92860A02-4D69-48c1-82D7-EF6B2C609502}
AndreyKa
07.01.2008, 03:05
Алиасы
ADSPY/Bho.KJ (AntiVir)
Adware Generic2.VJU (AVG)
Adware.BitAcc (DrWeb)
W32/Adware.ZOK (F-Prot)
Встречен в темах
http://virusinfo.info/showthread.php?t=15520
http://virusinfo.info/showthread.php?t=16014
http://virusinfo.info/showthread.php?t=16048
http://virusinfo.info/showthread.php?t=16050
http://virusinfo.info/showthread.php?t=16094
http://virusinfo.info/showthread.php?t=16128
http://virusinfo.info/showthread.php?t=16315
http://virusinfo.info/showthread.php?t=16348
http://virusinfo.info/showthread.php?t=16456
http://virusinfo.info/showthread.php?t=16489
http://virusinfo.info/showthread.php?t=16416
http://virusinfo.info/showthread.php?t=16511
http://virusinfo.info/showthread.php?t=16760
http://virusinfo.info/showthread.php?t=16769
http://virusinfo.info/showthread.php?t=16814
http://virusinfo.info/showthread.php?t=16865
http://virusinfo.info/showthread.php?t=17315
http://virusinfo.info/showthread.php?t=17510
http://virusinfo.info/showthread.php?t=17588
Файлы на диске
C:\Program Files\ConnectionServices\ConnectionServices.dll
Способ запуска
C:\Program Files\ConnectionServices\ConnectionServices.dll BHO {6D7B211A-88EA-490c-BAB9-3600D8D7C503}
AndreyKa
07.01.2008, 13:32
Алиасы
TR/Killav.NE (AntiVir)
Win32.Sector.4 (DrWeb)
Встречен в темах
http://virusinfo.info/showthread.php?t=16051
http://virusinfo.info/showthread.php?t=16054
http://virusinfo.info/showthread.php?t=16164
http://virusinfo.info/showthread.php?t=16250
http://virusinfo.info/showthread.php?t=16621
http://virusinfo.info/showthread.php?t=16990
http://virusinfo.info/showthread.php?t=17034
Файлы на диске
Может быть в виде файлов с расширением sys или dll. Имена файлов, скорее всего, случайные:
C:\WINDOWS\System32\drivers\mnnphn.sys
C:\WINDOWS\system32\vg109974.dll
Способ запуска
Драйвер: MCIDRV_2600_6_0 C:\WINDOWS\System32\drivers\mnnphn.sys (состояние: не запущен)
dll в запущенном состоянии детектируется AVZ:
С:\WINDOWS\system32\vg109974.dll>>> Нейросеть: файл с вероятностью 99.05% похож на типовой перехватчик событий клавиатуры/мыши
Источником этого трояна является файловый вирус.
Добавленны процедуры лечения этого вируса в антивирусы Касперского и DrWeb.
DrWeb детектирует зараженный файл как Win32.Sector.4
Антивирус Касперского детектирует зараженный файл как Virus.Win32.Sality.v
Внешние проявления (со слов пользователей)
Устанавливается в составе с другими вредоносными программами.
AVZ теперь после каждой перезагрузки совсем исчезает. Также удалился и CureIt!.
AndreyKa
07.01.2008, 22:40
Алиасы
Rkit/Agent.SC.1 (AntiVir)
BackDoor.Generic9.JSS (AVG)
W32/Agent.SC!tr.rkit (Fortinet)
VirTool:WinNT/Srizbi.A (Microsoft)
Rootkit/Agent.HOT (Panda)
Trojan/Agent.sc (TheHacker)
Встречен в темах
http://virusinfo.info/showthread.php?t=15997
http://virusinfo.info/showthread.php?t=16055
Файлы на диске
Имя файла случайное, состоит из нескольких букв и цифр. Например:
C:\WINDOWS\system32\drivers\Fhy58.sys
C:\WINDOWS\system32\drivers\Kkt51.sys
C:\WINDOWS\system32\drivers\Qby41.sys
C:\WINDOWS\system32\drivers\symavc32.sys
C:\WINDOWS\system32\Drivers\Cof49.sys
Размер 139.5 КБ
Способ запуска
Запускается как модуль пространства ядра.
Внешние проявления
В списке процессов имеется iexplore.exe с пометкой маскировки процесса (User Mode RootKit).
При попытке лечения в нормальном режиме запуска Windows компьютер зависает с черным экраном.
Лечить следует в безопасном режиме.
Зайцев Олег
07.01.2008, 23:04
Алиасы
TR/Killav.NE (AntiVir)
Trojan.DownLoader.38489 (DrWeb)
Встречен в темах
http://virusinfo.info/showthread.php?t=16051
http://virusinfo.info/showthread.php?t=16054
Файлы на диске
Может быть в виде файлов с расширением sys или dll. Имена файлов, скорее всего, случайные:
C:\WINDOWS\System32\drivers\mnnphn.sys
C:\WINDOWS\system32\vg109974.dll
Способ запуска
Драйвер: MCIDRV_2600_6_0 C:\WINDOWS\System32\drivers\mnnphn.sys (состояние: не запущен)
Способ запуска файла dll не ясен. Но в запущенном состоянии детектируется AVZ:
С:\WINDOWS\system32\vg109974.dll>>> Нейросеть: файл с вероятностью 99.05% похож на типовой перехватчик событий клавиатуры/мыши
Внешние проявления (со слов пользователей)
Устанавливается в составе с другими вредоносными программами.
AVZ теперь после каждой перезагрузки совсем исчезает. Также удалился и CureIt!.
Это довольно злобная зараза. DLL дропает файл драйвера, дропается он в папку WINDOWS\System32\drivers, имя действительно изменяется. Драйвер регистрируется в реестре через штатное API, после регистрации он загружается. В драйвере хранится список имен фрагментов URL сайтов различных AV вендоров, список зашифрован. Задача драйвера - блокировать доступ к данным сайтам (если туда добавить virusinfo - пострадавший сюда не попадет). В самой DLL здоровенный список (зашифрованный) того, а с чем эта зараза может бороться ... в списке есть все распространенные антивирусы, Firewall и антитрояны, в частности там есть AVZ, AVP, DRWEB ... Борьба с антивирусами идет в два этапа - ведется попытка открытия служб по именам, при успешном открытии идет удаление. Это идет отдельным потоком ... другие потоки сканируют диски на предмет наличия файлов .VDB, .AVC, .KEY, .EXE, .SCR. При обнаружении принадлежащих антивирусам файлов зловред ведет их удаление. Пытается отключить UAC в Vista через реестр ... ведет обмен с сайтом в Инет
AndreyKa
07.01.2008, 23:30
Алиасы
Generic9.AGXO (AVG)
Trojan.Kobcka.BY (BitDefender)
Trojan.Downloader-18735 (ClamAV)
BackDoor.Bulknet.112 (DrWeb)
Win32.Agent.ggt (eSafe)
Downloader.Agent.ggt (Ewido)
W32/Pushu.GGT!tr.dldr (Fortinet)
Generic.dx (McAfee)
VirTool:WinNT/Cutwail.F (Microsoft)
Win32/Wigon.AH (NOD32v2)
RootKit.Win32.Mnless.et (Rising)
Trojan-Downloader.Win32.Agent.gh (Sunbelt)
Trojan.Pandex (Symantec)
Trojan/Downloader.Agent.ggt (TheHacker)
Trojan.Wigon.C (VirusBuster)
Встречен в темах
http://virusinfo.info/showthread.php?t=15476
http://virusinfo.info/showthread.php?t=15608
http://virusinfo.info/showthread.php?t=15660
http://virusinfo.info/showthread.php?t=15989
http://virusinfo.info/showthread.php?t=16060
http://virusinfo.info/showthread.php?t=16202
http://virusinfo.info/showthread.php?t=16213
http://virusinfo.info/showthread.php?t=16257
http://virusinfo.info/showthread.php?t=16509
http://virusinfo.info/showthread.php?t=16595
http://virusinfo.info/showthread.php?t=16852
http://virusinfo.info/showthread.php?t=17455
http://virusinfo.info/showthread.php?t=17707
http://virusinfo.info/showthread.php?t=19242
Файлы на диске
Имя файла случайное, состоит из трех букв и двух цифр. Например:
C:\WINDOWS\system32\drivers\Taf40.sys
C:\WINDOWS\System32\drivers\Cyb60.sys
размер 21760 байт.
Обычно, есть копия этого трояна в папке C:\WINDOWS
Способ запуска
Драйвер: Cyb60 C:\WINDOWS\System32\Drivers\Cyb60.sys Группа: SCSI Class
(имя драйвера = имя файла)
Внешние проявления
Файл с соответствующем именем в списках "Модули пространства ядра" и
Драйверы.
AndreyKa
08.01.2008, 18:55
Алиасы
Infostealer.Gampass (Symantec)
Mal/Basine-C (Sophos)
Trj/ProxyServer.AS (Panda)
Trojan.Downloader-20037 (ClamAV)
Trojan.MulDrop.8347 (DrWeb)
Trojan.Proxy.Metro.D (BitDefender)
TrojanDownloader.Dirat.aw (CAT-QuickHeal)
W32/Basine.AW!tr.dldr (Fortinet)
W32/Downldr2.AUYI (F-Prot)
Встречен в темах
http://virusinfo.info/showthread.php?t=15990
http://virusinfo.info/showthread.php?t=16083
Файлы на диске
c:\windows\system32\vhosts.exe
19968 байт
MD5=5C1321793E369D890695FECED14B1AAC
использует трояна в файле MSCORE.DLL
Способ запуска
Служба msupdate "Microsoft security update service" c:\windows\system32\vhosts.exe
AndreyKa
08.01.2008, 21:39
Алиасы
BackDoor.Generic9.JSD (AVG)
Backdoor.Small.cbo (CAT-QuickHeal)
Generic.dx (McAfee)
Trojan.Perfcoo (Symantec)
Trojan.Proxy.1739 (DrWeb)
TrojanDownloader:Win32/Eldycow.gen!A (Microsoft)
W32/Backdoor2.DZB (F-Prot)
Встречен в темах
http://virusinfo.info/showthread.php?t=15680
http://virusinfo.info/showthread.php?t=16041
http://virusinfo.info/showthread.php?t=16055
http://virusinfo.info/showthread.php?t=16125
Файлы на диске
C:\WINDOWS\murka.dat
MD5=677C2CE46988695A7605B430DA399A38
6144 байт
Способ запуска
C:\WINDOWS\murka.dat
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
AndreyKa
08.01.2008, 21:56
Идет в комплекте с Trojan.Win32.Agent.dqz и Backdoor.Win32.Small.cbo
Алиасы
Aplicacion/Renos.aom (TheHacker)
Generic9.AJYI (AVG)
Hoax.Renos.aom (Not a Virus) (CAT-QuickHeal)
TR/Renos.4608.2 (AntiVir)
Trojan:Win32/Wantvi.B (Microsoft)
Win32/Eldycow.N (eTrust-Vet)
Win32/TrojanDownloader.FakeAlert.U (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=15680
http://virusinfo.info/showthread.php?t=16041
http://virusinfo.info/showthread.php?t=16055
http://virusinfo.info/showthread.php?t=16125
http://virusinfo.info/showthread.php?t=16779
Файлы на диске
exe файл в папке Windows, возможны различные имена.
c:\windows\medichi.exe
C:\WINDOWS\mustafx.exe
4608 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, Medichi (имя может быть другим)
В автозапуск также прописан файл с таким же именем + цифра 2 на конце.
Внешние проявления (со слов пользователей)
Предложение об установке spyware и появляется строка о копировании чего-то куда то .. Меняется время само по себе.
AndreyKa
09.01.2008, 23:27
Алиасы
Logger.Banker.hbo (Ewido)
PSW.Banker4.NBL (AVG)
TR/Spy.Banker.hbo (AntiVir)
Trojan-Spy.Banker.hbo (Sunbelt)
Trojan.Banker.Delf.YBG (BitDefender)
Trojan.PWS.Banker.14622 (DrWeb)
Trojan/Spy.Banker.hbo (TheHacker)
TrojanSpy.Banker.hbo (CAT-QuickHeal)
W32/Banker.BCCW (F-Prot)
W32/Banker.HBO!tr.spy (Fortinet)
Win32.Banker.hbo (eSafe)
Встречен в темах
http://virusinfo.info/showthread.php?t=16120
http://virusinfo.info/showthread.php?t=16133
http://virusinfo.info/showthread.php?t=16600
Файлы на диске
C:\WINDOWS\explorer.exe:submitter5.jpg
MD5=16DC64AD2DB4473405AA0631A72020D1
280064 байт
Это альтернативный поток системного файла. Не удаляйте C:\WINDOWS\explorer.exe !!!
Способ запуска
?
Функционирует как модуль процесса c:\windows\explorer.exe
Внешние проявления (со слов пользователей)
Explorer.exe в процессах кушает 99% системных ресурсов, помогает только его закрытие и повторный запуск.
При сканировании диска AVZ обнаруживает:
c:\windows\explorer.exe:submitter5.jpg:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
AndreyKa
11.01.2008, 00:39
Алиасы
ADSPY/Sert.A (AntiVir)
Adware Generic2.ZOB (AVG)
AdWare.Agent.zo (Not a Virus) (CAT-QuickHeal)
Trojan.Click.5043 (DrWeb)
Win32/TrojanDownloader.Small.NZG (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=15997
http://virusinfo.info/showthread.php?t=16125
http://virusinfo.info/showthread.php?t=16150
http://virusinfo.info/showthread.php?t=16290
http://virusinfo.info/showthread.php?t=16727
http://virusinfo.info/showthread.php?t=16779
http://virusinfo.info/showthread.php?t=16856
http://virusinfo.info/showthread.php?t=16979
http://virusinfo.info/showthread.php?t=17562
http://virusinfo.info/showthread.php?t=18363
http://virusinfo.info/showthread.php?t=18610
Файлы на диске
c:\windows\system32\users32.dat
16384 байт
Способ запуска
Способ запуска не определен.
users32.dat функционирует как модуль одного из запущенных пользовательских процессов.
Устанавливается в составе многочисленных вредоносных программ.
Зайцев Олег
11.01.2008, 01:09
Алиасы
ADSPY/Sert.A (AntiVir)
Adware Generic2.ZOB (AVG)
AdWare.Agent.zo (Not a Virus) (CAT-QuickHeal)
Trojan.Click.5043 (DrWeb)
Win32/TrojanDownloader.Small.NZG (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=15997
http://virusinfo.info/showthread.php?t=16125
Файлы на диске
c:\windows\system32\users32.dat
Способ запуска
Способ запуска не определен.
users32.dat функционирует как модуль одного из запущенных пользовательских процессов.
Устанавливается в составе многочисленных вредоносных программ.
По показаниям приборов за его повление может отвечать Trojan-Dropper.Win32.Small.bdf, идентичное поведение у AdvWare.Win32.Agent.zb. Из базы анализатора по моему запросу была раскручена возможная цепочка действий дроппера - я советую хелперам присмотреться к драйверу WINDOWS\system32\drivers\beep.sys - с высокой степенью вероятности он подменен. Кроме того, на пораженном ПК стоит поискать файл WINDOWS\system32\dllcache\fuurod.sys. Известные разновидности блокируют антивирусы (avz в том числе) по именам исполняемых файлов.
AndreyKa
11.01.2008, 02:43
Алиасы
BackDoor.Generic9.LBM (AVG)
Generic.Zlob.96765D0B (BitDefender)
Rkit/Agent.SV (AntiVir)
Rootkit.Agent.sv (CAT-QuickHeal)
Trojan:Win32/Wantvi.D (Microsoft)
Trojan.Virantix.B (Symantec)
Trojan/Agent.sv (TheHacker)
W32/Agent.SV!tr.rkit (Fortinet)
Описание
http://www.symantec.com/security_response/writeup.jsp?docid=2007-122607-2738-99&tabid=2 (анг.)
Как уже отметил Зайцев Олег в предыдущем сообщении это один из нескольких файлов, устанавливаемых трояном дропером.
Пользователям, у которых антивирус нашел Rootkit.Win32.Agent.sv следует обратится в раздел Помогите (http://virusinfo.info/forumdisplay.php?f=46), так как, этот файл идет в комплекте с несколькими вредоносными программами и, возможно, не все из них детектируются вашим антивирусом.
Встречен в теме
http://virusinfo.info/showthread.php?t=16041
http://virusinfo.info/showthread.php?t=16055
http://virusinfo.info/showthread.php?t=16167
Файлы на диске
C:\WINDOWS\System32\Drivers\Beep.SYS
61440 байт.
MD5=CD7336CD26222FF6D1C7872DA7A43173
Способ запуска
Подменяет собой системный драйвер с таким же именем и запускается вместо него.
AndreyKa
12.01.2008, 18:42
Алиасы
BackDoor.Generic8.TNU (AVG)
Rootkit.Agent.jp (Ewido)
Rootkit/Spammer.AEL (Panda)
Spy-Agent.bv.sys (McAfee)
TR/Rootkit.Gen (AntiVir)
Troj/RKRun-Gen (Sophos)
Trojan:WinNT/Cutwail.A!sys (Microsoft)
Trojan.Kobcka.AY (BitDefender)
Trojan.NtRootKit.422 (DrWeb)
Trojan.Pandex (Symantec)
Trojan.Rootkit-235 (ClamAV)
Virus.Win32.Small.EPJ (Ikarus)
W32/Agent.DPE!tr.rkit (Fortinet)
W32/Rootkit.AFW (F-Prot)
Win32:Small-EPJ (Avast)
Win32/Rootkit.Agent.EY (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=16077
http://virusinfo.info/showthread.php?t=16126
http://virusinfo.info/showthread.php?t=16213
http://virusinfo.info/showthread.php?t=16276
http://virusinfo.info/showthread.php?t=17187
http://virusinfo.info/showthread.php?t=18296
Файлы на диске
C:\WINDOWS\system32\drivers\runtime2.sys
Способ запуска
Служба runtime2
Внешние проявления
В списке "Модули пространства ядра" присутствует файл
C:\WINDOWS\system32\drivers\runtime2.sys
Перехватывает функции:
NtDeleteValueKey
NtEnumerateKey
NtEnumerateValueKey
NtOpenKey
NtSetValueKey
На компьютере в папке C:\WINDOWS\Temp присутствует вредоносный файл startdrv.exe (Trojan.Win32.Pakes.bqb).
AndreyKa
12.01.2008, 19:47
Алиасы
Infostealer.Banker.C (Symantec)
PSW.Generic5.AFBZ (AVG)
PWS:Win32/Bankrypt.gen (Microsoft)
TR/Spy.Broker.ap (AntiVir)
Trj/Sinowal.HM (Panda)
Trojan.Proxy.2486 (DrWeb)
Trojan.Spy.Brokrypt.A (BitDefender)
Trojan.Zbot-159 (ClamAV)
Trojan/Spy.Broker.ao (TheHacker)
TrojanSpy.Broker.ap (CAT-QuickHeal)
W32/Agent.BRW!tr (Fortinet)
W32/Banker.CEEY (Norman)
W32/Trojan2.TRP (F-Prot)
Встречен в темах
http://virusinfo.info/showthread.php?t=16051
http://virusinfo.info/showthread.php?t=16112
http://virusinfo.info/showthread.php?t=16621
Описание
Похищает ценную информацию с зараженного компьютера.
Внедряет свой код во все процессы кроме CSRSS.EXE
Удаляет cookies в кеше Internet Explorer для того чтобы пользователям пришлось заново вводить пароли когда они входят на сайты банков.
Считывает пароли из защищенного хранилища.
Может выполнять следующие действия:
- перехватывать сетевой трафик;
- перехватывать ввод с клавиатуры;
- считывать информацию из буфера Windows;
- захватывать изображение с экрана;
- перенаправлять сетевой трафик.
- загружать собранную информацию на удаленный сайт по FTP протоколу.
http://www.symantec.com/security_response/writeup.jsp?docid=2007-040208-5335-99&tabid=2 (англ.)
Файлы на диске
C:\WINDOWS\System32\ntos.exe
Способ запуска
Ключи реестра
HKEY_USERS
.DEFAULT\Software\Microsoft\Windows\CurrentVersion \Run, userinit
HKEY_LOCAL_MACHINE
Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
AndreyKa
12.01.2008, 21:24
Алиасы
ADSPY/Agent.YZ (AntiVir)
Adware Generic2.ZJH (AVG)
AdWare.Agent.yz (Not a Virus) (CAT-QuickHeal)
AdWare.Win32.Agent.y (eSafe)
Adware/Agent.yz (TheHacker)
Mal/Behav-119 (Sophos)
Trojan.Agent.AGHG (BitDefender)
Trojan.DownLoader.38353 (DrWeb)
W32/Heuristic-KPP!Eldorado (F-Prot)
Win32:Agent-PCI (Avast)
Описания
Загружает и запускает вредоносные программы, расположенные на веб-сайте.
Для обхода файрвола внедряет свой код в процессы такие как Internet Explorer.
Встречен в темах
http://virusinfo.info/showthread.php?t=16076
http://virusinfo.info/showthread.php?t=16167
http://virusinfo.info/showthread.php?t=16979
Файлы на диске
C:\WINDOWS\windsk.dll
15872 байт
Способ запуска
Запускается другой вредоносной программой, предположительно Rootkit.Win32.Agent.sv
Работает как модуль процессов explorer.exe и iexplore.exe
AndreyKa
12.01.2008, 23:49
Алиасы
Rootkit.Agent.ql (CAT-QuickHeal)
Rootkit.Win32.Agent.tw (F-Secure)
Trojan.NtRootKit.511 (DrWeb)
Trojan.Rootkit.Agent.NDW (BitDefender)
W32/Rootkit.AHL (F-Prot)
Встречен в темах
http://virusinfo.info/showthread.php?t=16155
http://virusinfo.info/showthread.php?t=16189
Файлы на диске
У файла случайное имя из букв, расширение dat, находится в папке C:\WINDOWS\system32\Drivers
Например:
C:\WINDOWS\system32\Drivers\ovtgjscc.dat
C:\WINDOWS\system32\Drivers\uucxtlmr.dat
19456 байт
Способ запуска
Драйвер со случайным именем, отличным от имени файла.
Группа: Boot Bus Extender
Работает как модуль пространства ядра.
Внешние проявления
AVZ в логе лечения выдает сообщение:
>>>> Подозрение на RootKit glvkqfgf C:\WINDOWS\system32\drivers\uucxtlmr.dat
AndreyKa
13.01.2008, 00:42
Алиасы
Downloader.Agent.hbs (Ewido)
Downloader.Agent.ZQF (AVG)
TR/Dldr.Agent.hbs.8 (AntiVir)
Trojan.DownLoader.39204 (DrWeb)
Trojan.Downloader.Agent.YZD (BitDefender)
Trojan/Downloader.Agent.hbs (TheHacker)
TrojanDownloader.Agent.hbs (CAT-QuickHeal)
VirTool:WinNT/Cutwail.F (Microsoft)
Win32/Wigon.AJ (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=16202
http://virusinfo.info/showthread.php?t=16213
http://virusinfo.info/showthread.php?t=16257
http://virusinfo.info/showthread.php?t=18302
Файлы на диске
Имя файла случайное, состоит из трех букв и двух цифр. Например:
C:\WINDOWS\System32\Drivers\Tbi07.sys
C:\WINDOWS\system32\Drivers\Hnr04.sys
размер 24832 байт.
Способ запуска
Драйвер: Tbi07 C:\WINDOWS\System32\Drivers\Tbi07.sys Группа: SCSI Class
(имя драйвера = имя файла)
Внешние проявления
Файл с соответствующем именем с списках "Модули пространства ядра" и
Драйверы.
AndreyKa
13.01.2008, 02:32
Алиасы
BehavesLike:Win32.ExplorerHijack (BitDefender)
Covert.Code (Prevx1)
Mal/Behav-150 (Sophos)
SHeur.ALGN (AVG)
Trj/Agent.HQV (Panda)
Trojan.Agent.dur (CAT-QuickHeal)
W32/Smalltroj.BVJU (Norman)
Win-Trojan/Agent.25600.CY (AhnLab-V3)
Встречен в темах
http://virusinfo.info/showthread.php?t=16229
http://virusinfo.info/showthread.php?t=16236
Файлы на диске
c:\windows\system32\svchost.exe:ext.exe:$DATA
Это альтернативный поток системного файла. Не удаляйте C:\WINDOWS\system32\svchost.exe !!!
25600 байт
Способ запуска
Служба FCI C:\WINDOWS\system32\svchost.exe:ext.exe
Внешние проявления
При сканировании диска AVZ выдает в лог сообщение:
c:\windows\system32\svchost.exe:ext.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
AndreyKa
13.01.2008, 19:16
Алиасы
Downloader.Generic6.ADBR (AVG)
TR/Dldr.Bensorty.FU.1 (AntiVir)
Trojan.DL.Small.uei (Rising)
Trojan.DownLoader.38509 (DrWeb)
Trojan/Downloader.Bensorty.fu (TheHacker)
Win32/TrojanDownloader.Small.NTQ (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=16275
http://virusinfo.info/showthread.php?t=16297
Файлы на диске
C:\WINDOWS\system32\hg543fdg.dll
MD5=19AC498EDA5FEF62437072CABD1540C2
10000 байт
Способ запуска
O2 - BHO: C:\WINNT\system32\hg543fdg.dll - {B2AC49A2-94F3-42BD-F434-2604812C897D} - C:\WINNT\system32\hg543fdg.dll
Внешние проявления
Отсутсвует в логе AVZ, хотя в базе безопасных не значится.
AndreyKa
15.01.2008, 02:17
Переименован в Packed.Win32.Monder.gen, а затем в Trojan.Win32.Monder.gen
Алиасы
AdWare.Virtumonde.djl (Not a Virus) (CAT-QuickHeal)
Adware.Vundo.V.Gen (VirusBuster)
Adware/Virtumonde.bio (TheHacker)
Lop (AVG)
TR/Vundo.dvc.5 (AntiVir)
Troj/Virtum-Gen (Sophos)
Trojan:Win32/Vundo.gen!A (Microsoft)
Trojan.Juan.29 (DrWeb)
Trojan.Win32.Undef.bff (Rising)
W32/Virtumonde.G.gen!Eldorado (F-Prot)
Встречен в темах
http://virusinfo.info/showthread.php?t=16324
http://virusinfo.info/showthread.php?t=16362
Файлы на диске
Файлы dll со случайными именами в папке C:\WINDOWS\system32
Способ запуска
Модуль расширения Internet Explorer BHO
CLSID случайный
Признаки
Модуль dll с подозрительным именем у безопасных процессов таких как:
c:\windows\explorer.exe
c:\windows\system32\lsass.exe
+ соответствующий модуль расширения Internet Explorer BHO
AndreyKa
15.01.2008, 02:47
Алиасы
Proxy.XKA (AVG)
Rkit/Agent.EZ (AntiVir)
Trojan Horse (Symantec)
Trojan.Proxy.Wopla.AO (BitDefender)
TrojanProxy.Wopla.at (CAT-QuickHeal)
Win32:Agent-JBL (Avast)
Win32/TrojanProxy.Wopla.AT (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=16250
http://virusinfo.info/showthread.php?t=16334
Файлы на диске
C:\WINDOWS\system32\Drivers\ndisaluo.sys
C:\WINDOWS\system32\Drivers\ntio922.sys
C:\NETHLPR.EXE
Способ запуска
?
Признаки
В пункте 1.3 лога AVZ сообщения:
>>>> Подозрение на RootKit ndisaluo C:\WINDOWS\system32\Drivers\ndisaluo.sys
>>>> Подозрение на RootKit ntio922 C:\WINDOWS\system32\Drivers\ntio922.sys
Зайцев Олег
15.01.2008, 09:18
Признаки
В пункте 1.3 лога AVZ сообщения:
>>>> Подозрение на RootKit ndisaluo C:\WINDOWS\system32\Drivers\ndisaluo.sys
>>>> Подозрение на RootKit ntio922 C:\WINDOWS\system32\Drivers\ntio922.sys
Результаты запроса к моей базе - зловред еще дропает файл C:\NETHLPR.EXE (Trojan-Proxy.Win32.Wopla.at). Идентичное поведение у зловреда Trojan-Proxy.Win32.Wopla.aw. Дроппер зловреда активирует привилегию SeDebugPrivilege, обращается к \Device\PhysicalMemory - такое поведение характерно для зловредов, снимающих хуки драверов защитного ПО.
AndreyKa
16.01.2008, 01:11
Алиасы
Generic9.APEN (AVG)
TR/Fujacks.A.1 (AntiVir)
Trojan.Rox (DrWeb)
Virus:Win32/Xorer.A (Microsoft)
W32.Pagipef.I!inf (Symantec)
W32/Fujacks (McAfee)
W32/Smalltroj.CFJY (Norman)
Win32:Agent-PPS (Avast)
Краткое описание
При запуске создает несколько своих копий, прописывает себя в автозапуск.
Записывает на диск несколько вредоносных файлов, таких как:
Virus.Win32.Xorer.dd
Virus.Win32.Xorer.df
Virus.Win32.Xorer.dp
Копирует себя на съемные диски, прописывая в автозапуск через файл AUTORUN.INF
Судя по наличию в его файле строк с названиями антивирусов, Virus.Win32.Xorer.dr пытается активно противодействовать им.
Встречен в темах
http://virusinfo.info/showthread.php?t=16439
Файлы на диске
c:\pagefile.pif
C:\NetApi00.sys
C:\037589.log
C:\AUTORUN.INF
C:\lsass.exe.48247687.exe
C:\WINDOWS\system32\com\smss.exe
C:\WINDOWS\system32\com\netcfg.000
C:\WINDOWS\system32\com\netcfg.dll
C:\WINDOWS\system32\com\lsass.exe
C:\WINDOWS\system32\dnsq.dll
Некоторые имена случайны.
Способ запуска
1. Прописывает запуск через файл AUTORUN.INF в корне основного и съемных дисков.
2. Записывает свои копии в меню автозапуска:
...\Главное меню\Программы\Автозагрузка\~.exe.49425375.exe
3. O20 - AppInit_DLLs: C:\WINDOWS\system32\dnsq.dll
AndreyKa
17.01.2008, 01:37
Алиасы
BackDoor.Generic_c.AEW (AVG)
Generic.dx (McAfee)
I-Worm.Agent.l (CAT-QuickHeal)
TR/Pandex.L.2 (AntiVir)
Trj/Spammer.ADX (Panda)
Troj/Agent-GDR (Sophos)
Trojan.NtRootKit.360 (DrWeb)
Trojan.Pandex.L (BitDefender)
VirTool:WinNT/Cutwail.D (Microsoft)
W32/Agent.L@mm (Fortinet)
W32/Smallworm.AEH (Norman)
W32/Trojan.BXQV (F-Prot)
Win32:Agent-LNK (Avast)
Win32.Agent.l (eSafe)
Win32/Agent.NBT (NOD32v2)
Win32/Agent.worm.114480 (AhnLab-V3)
Win32/Cutspeer.A (eTrust-Vet)
Worm.Agent.l (Ewido)
Worm.Mail.Win32.Agent.mc (Rising)
Примечание
Появился почти полгода назад. Его знают все антивирусы, но он все еще попадается в диком виде!
Возможна связь с Trojan-Downloader.Win32.Agent.ggt
Встречен в темах
http://virusinfo.info/showthread.php?t=15929
http://virusinfo.info/showthread.php?t=16444
http://virusinfo.info/showthread.php?t=16595
http://virusinfo.info/showthread.php?t=16602
http://virusinfo.info/showthread.php?t=16748
http://virusinfo.info/showthread.php?t=16796
Файлы на диске
C:\WINDOWS\system32\DRIVERS\smtpdrv.sys
18176 байт
MD5=5A5A869F4343A5C4057DA597FFFA3482
Способ запуска
Драйвер smtpdrv C:\WINDOWS\system32\DRIVERS\smtpdrv.sys
Группа: Streams Drivers
AndreyKa
17.01.2008, 02:03
Алиасы
Generic.Zlob.80ABF7BE (BitDefender)
Generic9.AJXX (AVG)
TR/Obfuscated.MP (AntiVir)
Trojan-Downloader.Zlob.Media-Codec (Sunbelt)
Trojan:Win32/Wantvi.D (Microsoft)
Trojan.NtRootKit.612 (DrWeb)
Trojan.Obfuscated.mp (CAT-QuickHeal)
Trojan.Virantix.B (Symantec)
Trojan/Obfuscated.mp (TheHacker)
W32/Obfuscated.MP!tr (Fortinet)
W32/Trojan2.TCK (F-Prot)
Win32.Obfuscated.mp (eSafe)
Встречен в темах
http://virusinfo.info/showthread.php?t=15680
http://virusinfo.info/showthread.php?t=16221
http://virusinfo.info/showthread.php?t=16779
Файлы на диске
C:\WINDOWS\System32\Drivers\Beep.SYS
37888 байт.
Способ запуска
Подменяет собой системный драйвер с таким же именем и запускается вместо него.
AndreyKa
17.01.2008, 22:27
Алиасы
ADSPY/Agent.YW.2 (AntiVir)
Adware Generic2.ZKE (AVG)
AdWare.Agent.yw (Not a Virus) (CAT-QuickHeal)
Adware.Bho (DrWeb)
Not-A-Virus.Adware.Agent (Ewido)
Встречен в темах
http://virusinfo.info/showthread.php?t=16050
http://virusinfo.info/showthread.php?t=16348
http://virusinfo.info/showthread.php?t=16381
http://virusinfo.info/showthread.php?t=18620
Файл на диске
C:\Program Files\ContentSaver\ContentSaver.dll
118784 байт
Способ запуска
C:\Program Files\ContentSaver\ContentSaver.dll BHO {29F340EA-2108-40d0-94A0-62EC2B9EDF59}
Особенности
Можно удалять через Панель управления - Установка/Удаление программ.
AndreyKa
18.01.2008, 01:09
Алиасы
BackDoor.Generic9.MOG (AVG)
Generic RootKit.a (McAfee)
Rkit/Agent.TC (AntiVir)
RootKit.A!tr (Fortinet)
Rootkit.Agent.tc (CAT-QuickHeal)
Rootkit/Lanman.BR (Panda)
Trojan.LanMan (DrWeb)
Trojan/Agent.tc (TheHacker)
VirTool:WinNT/Laqma.A (Microsoft)
W32/Rootkit.CDH (Norman)
Краткое описания
Функционирует как модуль пространства ядра.
Перехватывает несколько функций в KernelMode.
Встречался в паре с c:\windows\system32\lanmanwrk.exe - Trojan.Win32.Agent.dwq
Встречен в темах
http://virusinfo.info/showthread.php?t=12434
http://virusinfo.info/showthread.php?t=16319
http://virusinfo.info/showthread.php?t=16400
http://virusinfo.info/showthread.php?t=16494
http://virusinfo.info/showthread.php?t=17302
http://virusinfo.info/showthread.php?t=17440
Файлы на диске
C:\WINDOWS\System32\lanmandrv.sys
MD5=B5EC5B3E0BC6B26BB05282B65AF90686
5632 байт
Способ запуска
Драйвер: lanmandrv C:\WINDOWS\System32\lanmandrv.sys
AndreyKa
19.01.2008, 23:35
Переименован в Packed.Win32.Monder.gen
Алиасы
AdWare.Virtumonde.dnn (CAT-QuickHeal)
Generic9.AQNO (AVG)
Spyware/Virtumonde (Panda)
TR/Vundo.DWB (AntiVir)
Troj/Virtum-Gen (Sophos)
Trojan.Metajuan (Symantec)
Trojan.Virtumod.260 (DrWeb)
Trojan.Vundo.DWB (BitDefender)
W32/Virtumonde.G.gen!Eldorado (F-Prot)
W32/Virtumonde.JTK (Norman)
Win32/Adware.SecToolbar (NOD32v2)
Описание
Рекламная программа, показывающая всплывающие сообщения.
Функционирует как модуль сразу нескольких процессов.
Встречается вместе с другими представителями семейства AdWare.Win32.Virtumonde.
Экземпляры файлов отличаются друг от друга приписанным в конце файла случайным набором чисел.
Встречен в темах
http://virusinfo.info/showthread.php?t=16362
http://virusinfo.info/showthread.php?t=16466
http://virusinfo.info/showthread.php?t=16496
http://virusinfo.info/showthread.php?t=17108
Файлы на диске
Файл dll со случайным именем из букв в папке C:\WINDOWS\system32
163904 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\_имя_файла_
+
BHO {A95B2816-1D7E-4561-A202-68C0DE02353A}
AndreyKa
20.01.2008, 01:01
Алиасы
Agent.2.AN (AVG)
Mal/Behav-150 (Sophos)
Trojan.Agent.dxg (Ewido)
Trojan.Spambot.2572 (DrWeb)
Trojan/Agent.dxg (TheHacker)
W32/Agent.DXG!tr (Fortinet)
W32/Smalltroj.CFKI (Norman)
W32/Trojan2.TZE (F-Prot)
Win-Trojan/Agent.25600.DD (AhnLab-V3)
Win32/Obfuscated.NAL (NOD32v2)
Win32/SillyProxy.BQ (eTrust-Vet)
Встречен в темах
http://virusinfo.info/showthread.php?t=16416
http://virusinfo.info/showthread.php?t=16437
http://virusinfo.info/showthread.php?t=16491
http://virusinfo.info/showthread.php?t=16446
http://virusinfo.info/showthread.php?t=16601
Файлы на диске
Может быть как в виде exe файла:
C:\WINDOWS\system32\fci.exe
Так и в виде альтернативного потока системного файла:
C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA
Не удаляйте файл C:\WINDOWS\system32\svchost.exe !!!
25600 байт
MD5=01EA113361CC3ACC160930D8918FC682
Способ запуска
Служба FCI C:\WINDOWS\system32\fci.exe
Группа: TDI
Внешние проявления (со слов пользователей)
Много трафика идет. svchost.exe создает много подключений по SMTP.
Периодически с компьютера отправляют сообщения по электронной почте.
AndreyKa
20.01.2008, 16:24
Алиасы
amvo.exe:
PWS-OnlineGames.a (McAfee)
SHeur.SHW (Prevx1)
Trojan.PWS.OnlineGames.NXF (BitDefender)
W32.Gammima.AG (Symantec)
W32/AutoRun.BDA (Norman)
W32/AutoRun.bnq (TheHacker)
W32/AutoRun.BNQ!worm (Fortinet)
W32/Autorun.LD.worm (Panda)
W32/Worm.LZX (F-Prot)
Win-Trojan/OnlineGameHack.103956 (AhnLab-V3)
Win32:AutoRun-MH (Avast)
Win32.AutoRun.bnq (eSafe)
Win32.HLLW.Autoruner.1020 (DrWeb)
Win32.Packed.NSAnti.r (CAT-QuickHeal)
Win32/Frethog.AGF (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Worm/AutoRun.Y (AVG)
amvo0.dll:
OnlineGames.A!tr.pws (Fortinet)
PWS-OnlineGames.a (McAfee)
Trojan.PWS.OnlineGames.NXF (BitDefender)
Trojan.PWS.Wsgame.2387 (DrWeb)
W32/AutoRun.BDE (Norman)
W32/AutoRun.bnq (TheHacker)
W32/Autorun.LD.worm (Panda)
Win-Trojan/OnlineGameHack.54784.B (AhnLab-V3)
Win32/Frethog.AGF (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=16117
http://virusinfo.info/showthread.php?t=16151
http://virusinfo.info/showthread.php?t=16597
Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
autorun.inf в корневой папке на всех дисках.
В нем прописан файл u.bat (имя файла может быть другим) для автозапуска.
u.bat имеет атрибуты скрытый, системный, только для чтения.
Для сокрытия присутствия используется руткит, работающий в режиме ядра - C:\WINDOWS\system32\wincab.sys Его файл после запуска удаляется с диска.
Способ запуска
1. C:\WINDOWS\system32\amvo.exe Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Прописывает запуск через файл AUTORUN.INF в корне основного и съемных дисков.
Внешние проявления (со слов пользователей)
Не показывает скрытые файлы и папки. Локальные диски открывает в новом окне.
AndreyKa
20.01.2008, 22:23
Алиасы
Win32/Sality.AB (NOD32v2)
Virus:Win32/Sality.AH (Microsoft)
W32.Sality.AB (Symantec)
W32/Kashu.A (AntiVir)
W32/Sality-AM (Sophos)
W32/Sality.ad (McAfee)
W32/Sality.AE (F-Prot)
Win32.Kashu.A (BitDefender)
Win32.Sector.4 (DrWeb)
Win32/Kashu (AhnLab-V3)
Win32/Sality.V (eTrust-Vet)
Описание
Файловый вирус. Распространяется путем заражения исполняемых файлов (.exe и .scr). Пытается загрузить вредоносные файлы через Интернет.
http://www.symantec.com/security_response/writeup.jsp?docid=2008-011120-5334-99 (англ.)
Встречен в темах
http://virusinfo.info/showthread.php?t=16621
и в темах Trojan.Win32.KillAV.ne (http://virusinfo.info/showpost.php?p=168282&postcount=6)
Внешние проявления (со слов пользователей)
Компьютер не может загрузится в Безопасном режиме.
Работа антивирусов нарушается, антивирусы удаляются.
Зайцев Олег
20.01.2008, 22:41
Email-Worm.Win32.Agent.l
...
Возможна связь с Trojan-Downloader.Win32.Agent.ggt
Доп. данные из моих баз - в частности его дропает одноименный зловред Email-Worm.Win32.Agent.l по классификации ЛК. Он создает файл C:\WINDOWS\system32\drivers\smtpdrv.sys (Email-Worm.Win32.Agent.l по ЛК), а также C:\WINDOWS\system32\MailSpectre.exe (Trojan.Win32.Agent.bap по ЛК), после чего регистрирует драйвер под именем smtpdrv и включает в группу "Streams Drivers" - т.е. поведение в точности совпадает с описанным выше. Исполняемый файл данного зловреда, выступающий в роли дроппера, имеет размер 155 кб, программный код написан на C, не зашифрован, дропаемые файлы приписаны в хвост дроппера. Trojan.Win32.Agent.bap в свою очередь в ходе работы обращается к драйверу smtpdrv.sys, что доказывает их взаимосвязь
AndreyKa
21.01.2008, 23:52
Алиасы
Downloader.Agent.AACP (AVG)
PWS:Win32/Zbot (Microsoft)
Trojan-Spy.Win32.Broker.as (Kaspersky)
Trojan.Proxy.2634 (DrWeb)
Trojan.Spy.Broker.N (BitDefender)
Trojan/Spy.Broker.as (TheHacker)
W32/Malware.BOKQ (Norman)
Встречен в темах
http://virusinfo.info/showthread.php?t=16595
http://virusinfo.info/showthread.php?t=16626
http://virusinfo.info/showthread.php?t=16656
http://virusinfo.info/showthread.php?t=16757
http://virusinfo.info/showthread.php?t=16895
http://virusinfo.info/showthread.php?t=17214
Файлы на диске
C:\WINDOWS\system32\ntos.exe
Способ запуска
C:\WINDOWS\system32\ntos.exe
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
Примечание
Представитель этого семейства с описанием: Trojan-Spy.Win32.Broker.ap (http://virusinfo.info/showpost.php?p=171235&postcount=18)
AndreyKa
22.01.2008, 22:19
Алиасы
BackDoor.Generic9.NNL (AVG)
Rootkit.Agent.ql (CAT-QuickHeal)
Trojan.NtRootKit.511 (DrWeb)
Trojan.Rootkit.Agent.NDW (BitDefender)
VirTool:WinNT/Boaxxe.E (Microsoft)
W32/Rootkit.AHL (F-Prot)
W32/Rootkit.CNC (Norman)
Win32:Agent-PSI (Avast)
Win32/Agent.NOU (NOD32v2)
Win32/Kvol.Q (eTrust-Vet)
Встречен в темах
http://virusinfo.info/showthread.php?t=12434
http://virusinfo.info/showthread.php?t=16594
http://virusinfo.info/showthread.php?t=16667
http://virusinfo.info/showthread.php?t=17254
Файлы на диске
C:\WINDOWS\system32\Drivers\*.dat
* - 8 случайных латинских букв
19456 байт
Способ запуска
Драйвер. Его имя тоже случайное и отличается от имени файла.
Группа: Boot Bus Extender
Работает как Модуль пространства ядра.
AndreyKa
22.01.2008, 22:36
Алиасы
BZub.ARU (Norman)
Generic9.AJIO (AVG)
TR/BHO.agz.21 (AntiVir)
Trj/Downloader.RKS (Panda)
Troj/BHO-EL (Sophos)
Trojan:Win32/Boaxxe.C (Microsoft)
Trojan.Adclicker (Symantec)
Trojan.BHO-1253 (ClamAV)
Trojan.BHO.agz (Ewido)
Trojan.DoS.Win32.Opdos (Prevx1)
Trojan.DownLoader.38058 (DrWeb)
Trojan.Spy.Bzub.NGP (BitDefender)
Trojan/BHO.agz (TheHacker)
W32/BHO.AGZ!tr (Fortinet)
Win32:BHO-KD (Avast)
Win32/BHO.AGZ (NOD32v2)
Win32/Kvol!generic (eTrust-Vet)
Встречен в темах
http://virusinfo.info/showthread.php?t=12434
http://virusinfo.info/showthread.php?t=16189
http://virusinfo.info/showthread.php?t=16667
Файлы на диске
dll файл со случайным именем из латинских букв в папке c:\windows\system32
Встречается вместе с Rootkit.Win32.Agent.tw (см. выше).
Способ запуска
BHO, CLSID - случайный
AndreyKa
25.01.2008, 00:47
Алиасы
amvo.exe
Trj/Wow.SE (Panda)
Trojan.Dropper.OnlineGames.I (BitDefender)
Trojan.MulDrop.6474 (DrWeb)
Trojan.Win32.AVKiller (VBA32)
W32.Gammima.AG (Symantec)
W32/Autorun-AQ (Sophos)
W32/AutoRun.bur (TheHacker)
W32/AutoRun.BUR!worm (Fortinet)
W32/Autorun.worm.bn (McAfee)
W32/Smalltroj.CIGU (Norman)
Win32.Packed.NSAnti.r (CAT-QuickHeal)
Win32/Autorun.worm.104863 (AhnLab-V3)
Win32/Frethog.AGS (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Worm/Generic.FHX (AVG)
eaxbit.dll & amvo0.dll
BHO.CYR, PSW.OnlineGames.ABQN (AVG)
Trj/Wow.SE (Panda)
Trojan.Agent.AGPW, Trojan.PWS.OnlineGames.NYX (BitDefender)
Trojan.Legmir.A (Prevx1)
Trojan.Nsanti.Packed, Trojan.PWS.Wsgame.2387 (DrWeb)
Trojan.Small-1780 (ClamAV)
W32.Gammima.AG (Symantec)
W32/Autorun-AQ (Sophos)
W32/AutoRun.AQ!worm (Fortinet)
W32/AutoRun.bur (TheHacker)
W32/Autorun.worm.bn (McAfee)
W32/Smalltroj.CIGR, W32/Smalltroj.CIUP (Norman)
Win-Trojan/OnlineGameHack.54784.F (AhnLab-V3)
Win32/NSAnti, Win32/VMalum.BUVZ (eTrust-Vet)
Win32/PSW.OnLineGames.NLK, Win32/Rootkit.Vanti.NAI (NOD32v2)
Worm.AutoRun.bur (CAT-QuickHeal)
Описание
Червь распространяющийся копированием самого себя на сменные носители. Похищает пароли к различным интернет-играм.
Встречен в темах
http://virusinfo.info/showthread.php?t=16505
http://virusinfo.info/showthread.php?t=16511
http://virusinfo.info/showthread.php?t=16594
Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
juok3st.bat и autorun.inf в корневой папке на всех дисках.
eaxbit.dll во временной папке.
Способ запуска
1. C:\WINDOWS\system32\amvo.exe Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Прописывает запуск через файл AUTORUN.INF в корне основного и съемных дисков.
Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.
AndreyKa
26.01.2008, 13:38
Алиасы
m1t8ta.com
Trojan.PWS.Wsgame.2387 (DrWeb)
Trojan/PSW.OnLineGames.oob (TheHacker)
TrojanPSW.OnLineGames.oob (CAT-QuickHeal)
W32/AutoInf-H (Sophos)
W32/Lineage.HDR.worm (Panda)
W32/OnLineGames.AIFH (Norman)
W32/OnLineGames.OOB!tr.pws (Fortinet)
Win-Trojan/Autorun.54784 (AhnLab-V3)
Win32/Frethog.AGY (eTrust-Vet)
Win32/PSW.OnLineGames.NLK (NOD32v2)
amvo1.dll
Dropper/Autorun.105525 (AhnLab-V3)
Trojan.MulDrop.6474 (DrWeb)
Trojan.PWS.OnLineGames.OOB (BitDefender)
Trojan/PSW.OnLineGames.oob (TheHacker)
W32/AutoInf-H (Sophos)
W32/Lineage.HDR.worm (Panda)
W32/Smalltroj.CJDR (Norman)
Win32.Packed.NSAnti.r (CAT-QuickHeal)
Win32/Frethog.AGY (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Worm/AutoRun.Y (AVG)
Встречен в темах
http://virusinfo.info/showthread.php?t=16569
http://virusinfo.info/showthread.php?t=16570
http://virusinfo.info/showthread.php?t=16588
http://virusinfo.info/showthread.php?t=16682
Файлы на диске
C:\m1t8ta.com
C:\autorun.inf
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
C:\WINDOWS\system32\amvo.exe
autorun.inf и m1t8ta.com - на всех дисках в корневой папке
Способ запуска
1. Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.
AndreyKa
27.01.2008, 20:34
Алиасы
BackDoor.Bifrost.526 (DrWeb)
Backdoor.Eterok.C (Symantec)
Generic9.ATJS (AVG)
Mal/Generic-A (Sophos)
TR/Inject.SM (AntiVir)
W32/Inject.SM!tr (Fortinet)
Win32/TrojanProxy.Xorpix.NAE (NOD32v2)
Описание
Внедряется в системный процес Winlogon.
В списке модулей отсутствует.
Запускает процесс iexplore.exe и внедряется в него.
Отрывает BackDoor на случайном порту TCP.
Отправляет этот номер порта на удаленный сервер, ожидает соединения и команды для выполнения.
http://www.symantec.com/security_response/writeup.jsp?docid=2006-061317-0557-99&tabid=2
Встречен в темах
http://virusinfo.info/showthread.php?t=16421
http://virusinfo.info/showthread.php?t=16535
http://virusinfo.info/showthread.php?t=16586
http://virusinfo.info/showthread.php?t=16984
http://virusinfo.info/showthread.php?t=17707
Файлы на диске
C:\Documents and Settings\All Users\Документы\Settings\abc32.dll
%UserProfile%\Local Settings\Temp\arm????.tmp
Способ запуска
C:\Documents and Settings\All Users\Документы\Settings\abc32.dll
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\abc32reg
Зайцев Олег
27.01.2008, 21:21
Файлы на диске
C:\m1t8ta.com
C:\autorun.inf
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
C:\WINDOWS\system32\amvo.exe
autorun.inf и m1t8ta.com - на всех дисках в корневой папке
Способ запуска
1. Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.
Небольшое дополнение из моей базы: Размер исполняемого файла зловрда 105 кб. Файл amvo.exe в указанном месте создают также Worm.Win32.AutoRun.* (в частности, Worm.Win32.AutoRun.bmz, Worm.Win32.AutoRun.bun, Worm.Win32.AutoRun.bur, Worm.Win32.AutoRun.cag), а также Trojan-PSW.Win32.OnLineGames.* (в частности Trojan-PSW.Win32.OnLineGames.ost, Trojan-PSW.Win32.OnLineGames.ozf, Trojan-PSW.Win32.OnLineGames.pdb, Trojan-PSW.Win32.OnLineGames.pfm, Trojan-PSW.Win32.OnLineGames.pfm, Trojan-PSW.Win32.OnLineGames.pmo).
По поводу зловреда Trojan-PSW.Win32.OnLineGames.oob можно отметить, что он:
1. Создает во временной папке ряд файлов, в частности lb2t87v.dll, uu2c.sys
2. Определяет местоположение IE для того, чтобы запустить его и инжектит в процесс IE троянский код
3. amvo.exe - это копия дроппера зловреда
4. Зловред умеет бороться с антивирусами, в частности реализует классическую атаку на GUI AVP
5. Модифицирует параметры ключа реестра Software\Microsoft\Windows\CurrentVersion\Explorer \Advanced с именами Hidden и ShowSuperHidden, изменяет политику безопасности путем правки реестра - в ключе Software\Microsoft\Windows\CurrentVersion\Policies \Explorer он модифицирует параметр NoDriveTypeAutoRun. Эти изменения реестра защищены от восстановления за счет того, что зловред периодически повторяет их правку
6. Плодит файлы *:\m1t8ta.com и *:\autorun.inf, причем m1t8ta.com - это копия дроппера зловреда.
AndreyKa
27.01.2008, 23:22
Очередной представитель семейства Worm.Win32.AutoRun, имеющего в последние несколько недель широкое распространение.
Алиасы
Trojan.Agent.AGOB (BitDefender)
Trojan.MulDrop.6474 (DrWeb)
W32/AutoRun.bvz (TheHacker)
W32/Lineage.HEF.worm (Panda)
Win32.Packed.NSAnti.r (CAT-QuickHeal)
Win32/Autorun.worm.106174 (AhnLab-V3)
Win32/Frethog.AHE (eTrust-Vet)
Worm/AutoRun.Y (AVG)
Встречен в темах
http://virusinfo.info/showthread.php?t=16594
http://virusinfo.info/showthread.php?t=16682
http://virusinfo.info/showthread.php?t=16795
Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
autorun.inf и xn1i9x.com - на всех дисках в корневой папке
Способ запуска
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.
AndreyKa
31.01.2008, 08:36
Алиасы
PWS-LegMir.gen.k (McAfee)
Trj/Downloader.SEW (Panda)
Trojan.Agent.AGOT (BitDefender)
Trojan.MulDrop.6474 (DrWeb)
Trojan.PSW.Win32.GameOL.loc (Rising)
W32.Gammima.AG (Symantec)
W32/AutoRun.cas (TheHacker)
W32/Smalltroj.CKQK (Norman)
Win-Trojan/OnlineGameHack.105942 (AhnLab-V3)
Win32/Frethog.AHJ (eTrust-Vet)
Win32/Pacex.Gen (NOD32v2)
Worm/AutoRun.Y (AVG)
Встречен в темах
http://virusinfo.info/showthread.php?t=16670
http://virusinfo.info/showthread.php?t=16746
http://virusinfo.info/showthread.php?t=17038
http://virusinfo.info/showthread.php?t=17164
Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
%Temp%\9ba4xn.dll
autorun.inf и xn1i9x.com - на всех дисках в корневой папке
autorun.inf детектируется как Trojan-PSW.Win32.OnLineGames.pgs
Способ запуска
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.
Worm.Win32.AutoRun.cag мало чем отличается от Worm.Win32.AutoRun.cas. Он найден в темах:
http://virusinfo.info/showthread.php?t=16675
http://virusinfo.info/showthread.php?t=16865
http://virusinfo.info/showthread.php?t=17160
Отличия в детекте:
W32/AutoRun.CAG!worm (Fortinet)
W32/Lineage.HEF.worm (Panda)
W32/Smalltroj.CKGL (Norman)
Win32:AutoRun-PC (Avast)
Win32/Frethog.AHG (eTrust-Vet)
Дополнительные алиасы для amvo0.dll
Generic.dx (McAfee)
Trojan.PWS.Wsgame.2387 (DrWeb)
W32/AutoRun.BKD (Norman)
W32/Autorun.MY.worm (Panda)
Win-Trojan/OnlineGameHack.54784.R (AhnLab-V3)
Win32:AutoRun-PD (Avast)
Worm.AutoRun.cag (CAT-QuickHeal)
AndreyKa
01.02.2008, 00:04
Ползучая эпидемия продолжается.
Алиасы
Trojan.MulDrop.6474 (DrWeb)
Trojan.PSW.Win32.GameOL.lod (Rising)
Trojan.PWS.Onlinegames.NXQ (BitDefender)
W32.Gammima.AG (Symantec)
W32/AutoRun.cbi (TheHacker)
W32/Autorun.MR.worm (Panda)
W32/Smalltroj.CKWC (Norman)
Win32.AutoRun.cbi (eSafe)
Win32/Frethog.AIG (eTrust-Vet)
Win32/PSW.OnLineGames.MUU (NOD32v2)
Worm/AutoRun.Y (AVG)
Встречен в темах
http://virusinfo.info/showthread.php?t=16742
http://virusinfo.info/showthread.php?t=16985
http://virusinfo.info/showthread.php?t=17095
Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
autorun.inf и qd.cmd - на всех дисках в корневой папке
Способ запуска
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.
Отличия Worm.Win32.AutoRun.chv
Алиасы
amvo.exe
Dropper/Autorun.104080 (AhnLab-V3)
PWS:Win32/OnLineGames.BL (Microsoft)
Trj/QQPass.BBV (Panda)
Trojan.MulDrop.6474 (DrWeb)
W32/AutoRun.chv (TheHacker)
W32/NSAnti.FZS (Norman)
Win32/Frethog.AJA (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=17324
http://virusinfo.info/showthread.php?t=17382
http://virusinfo.info/showthread.php?t=17635
Файлы на диске
%Temp%\pqub.dll
В корне всех дисков файл h.cmd
Отличия Worm.Win32.AutoRun.cin
Алиасы
amvo.exe
Trojan.Agent.AGTI (BitDefender)
W32/AutoRun.cin (TheHacker)
W32/Downldr2.AXPW (F-Prot)
W32/Lineage.GUF.worm (Panda)
Win-Trojan/Autorun.104644 (AhnLab-V3)
Win32/PSW.OnLineGames.NLI (NOD32v2)
amvo0.dll
Trojan.PWS.Wsgame.2387 (DrWeb)
VirTool:Win32/Obfuscator.T (Microsoft)
W32/NSAnti.GDM (Norman)
Win32/PSW.OnLineGames.NLK (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=17457
http://virusinfo.info/showthread.php?t=17474
http://virusinfo.info/showthread.php?t=17631
Файлы на диске
%Temp%\yjyuu.dll
В корне всех дисков файл i.cmd
AndreyKa
01.02.2008, 00:52
Алиасы
Downloader.Agent.AADM (AVG)
Downloader.Agent.hnp (Ewido)
TR/Dldr.Agent.hnp (AntiVir)
Trj/Downloader.SFC (Panda)
Trojan:Win32/Adclicker.AO (Microsoft)
Trojan.Adclicker.GY (BitDefender)
Trojan.BhoSpy (DrWeb)
Trojan.Win32.Undef.cap (Rising)
Trojan/Downloader.Agent.hnp (TheHacker)
TrojanDownloader.Agent.hnp (CAT-QuickHeal)
W32/Agent.EAPT (Norman)
W32/Agent.HNP!tr.dldr (Fortinet)
Встречен в темах
http://virusinfo.info/showthread.php?t=16679
http://virusinfo.info/showthread.php?t=16806
http://virusinfo.info/showthread.php?t=17103
http://virusinfo.info/showthread.php?t=17106
http://virusinfo.info/showthread.php?t=17215
http://virusinfo.info/showthread.php?t=18226
http://virusinfo.info/showthread.php?t=18323
Файлы на диске
C:\WINDOWS\System32\socksys.dll
или
C:\WINDOWS\system32\socketa.dll
25600 байт
Способ запуска
BHO {FFFFFFFF-F538-4f86-ABAF-E9D94D5C007C}
AndreyKa
01.02.2008, 01:14
Алиасы
xo8wr9.exe и amvo.exe
PSW.OnlineGames.ACQL (AVG)
PWS-Mmorpg.gen (McAfee)
Trojan.MulDrop.6474 (DrWeb)
Trojan.PSW.Win32.GameOL.lri (Rising)
Trojan.PWS.OnlineGames.OOV (BitDefender)
Trojan/PSW.OnLineGames.pqm (TheHacker)
W32.Gammima.AG (Symantec)
W32/Lineage.HHP.worm (Panda)
W32/OnLineGames.AJHA (Norman)
Win-Trojan/OnlineGameHack.103781 (AhnLab-V3)
Win32/Frethog.AIK (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
amvo1.dll
Trojan.PSW.Win32.GameOL.lri (Rising)
Trojan.PWS.OnlineGames.OOV (BitDefender)
Trojan.PWS.Wsgame.2387 (DrWeb)
VB.BHZ (Prevx1)
W32.Gammima.AG (Symantec)
W32/Lineage.HHP.worm (Panda)
Win32/Frethog.AIK (eTrust-Vet)
Win32/PSW.OnLineGames.NLK (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=17066
http://virusinfo.info/showthread.php?t=17068
http://virusinfo.info/showthread.php?t=17112
http://virusinfo.info/showthread.php?t=17315
Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
autorun.inf и xo8wr9.exe - на всех дисках в корневой папке
Способ запуска
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.
AndreyKa
02.02.2008, 23:37
Алиасы
h.cmd и amvo.exe
PWS-LegMir (McAfee)
Trojan.MulDrop.6474 (DrWeb)
W32.Gammima.AG (Symantec)
W32/AutoRun.cgi (TheHacker)
W32/NSAnti.FXO (Norman)
W32/Wow.SI.worm (Panda)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Win32/VMalum.BVDB (eTrust-Vet)
amvo0.dll
PSW.OnlineGames.ADBF (AVG)
Trojan.PWS.Wsgame.2387 (DrWeb)
VB.BHZ (Prevx1)
W32/NSAnti.FXP (Norman)
Win32/PSW.OnLineGames.NLK (NOD32v2)
Описание
Червь распространяющийся копированием самого себя на сменные носители. Похищает пароли к различным интернет-играм.
Встречен в темах
http://virusinfo.info/showthread.php?t=17225
http://virusinfo.info/showthread.php?t=17255
http://virusinfo.info/showthread.php?t=17337
http://virusinfo.info/showthread.php?t=17382
http://virusinfo.info/showthread.php?t=17635
Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll - детектируется как Trojan-PSW.Win32.OnLineGames.pwr
C:\WINDOWS\system32\amvo1.dll
%Temp%\fhf.dll
autorun.inf и h.cmd - на всех дисках в корневой папке
Способ запуска
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.
AndreyKa
03.02.2008, 23:29
Алиасы
BackDoor.Bulknet.134 (DrWeb)
Downloader.Agent.AAAN (AVG)
Trj/Spammer.ADX (Panda)
Trojan.Downloader-21950 (ClamAV)
Trojan.Downloader.Small.AAKE (BitDefender)
Trojan/Downloader.Agent.hlt (TheHacker)
TrojanDownloader.Agent.hlt (CAT-QuickHeal)
VirTool:WinNT/Cutwail.F (Microsoft)
W32/DLoader.FGTA (Norman)
W32/Emogen.HLT!tr.dldr (Fortinet)
Win-Trojan/SpamMailer.25984 (AhnLab-V3)
Win32.Agent.hlt (eSafe)
Win32/Wigon.AN (NOD32v2)
Worm/Ntech.Z.4 (AntiVir)
Встречен в темах
http://virusinfo.info/showthread.php?t=16595
http://virusinfo.info/showthread.php?t=17099
http://virusinfo.info/showthread.php?t=17458
Файл на диске
Имя состоит из трех случайных букв и двух цифр. Например:
C:\WINDOWS\System32\Drivers\Iot62.sys
C:\WINDOWS\System32\Drivers\Agk37.sys
Размер 25984 байт
Способ запуска
Драйвер: C:\WINDOWS\System32\Drivers\?????.sys
Группа: SCSI Class
Функционирует как модуль пространства ядра.
AndreyKa
05.02.2008, 22:46
Алиасы
TR/Agent.41984.21 (AntiVir)
Trj/Dropper.AAD (Panda)
Troj/Agent-GNA (Sophos)
Trojan.Downloader.Small.AAKR (BitDefender)
Trojan.MulDrop.10872 (DrWeb)
Trojan/Dropper.Agent.dsg (TheHacker)
TrojanDropper.Agent.dsg (CAT-QuickHeal)
VirTool:Win32/Rootkitdrv.BR (Microsoft)
W32/Agent.EAJP (Norman)
Win32:Agent-OLI (Avast)
Описание
Троян с функционалом обмена информацией с удаленным сервером через протокол HTTP.
При первом запуске копирует себя в файлы
%USERPROFILE%\Local Settings\Application Data\ayagbf.exe
%SystemRoot%\System32\drivers\msbzgh.exe
и создает следующие файлы:
%USERPROFILE%\msftp.dll
%SystemRoot%\System32\drivers\sysproc.sys
%SystemRoot%\System32\msftp.dll
Источник: http://www.sophos.com/virusinfo/analyses/trojagentgna.html (анг.)
sysproc.sys детектируется как Rootkit.Win32.Agent.mu
msftp.dll детектируется как Trojan-Downloader.Win32.Small.hwc
Встречен в темах
http://virusinfo.info/showthread.php?t=16816
http://virusinfo.info/showthread.php?t=17179
http://virusinfo.info/showthread.php?t=17495
http://virusinfo.info/showthread.php?t=17513
http://virusinfo.info/showthread.php?t=17522
http://virusinfo.info/showthread.php?t=17540
http://virusinfo.info/showthread.php?t=17548
http://virusinfo.info/showthread.php?t=17685
http://virusinfo.info/showthread.php?t=17856
Способ запуска
1) Служба: Schedule
C:\WINDOWS\system32\drivers\msbzgh.exe
Группа: SchedulerGroup
2) Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, autoload
C:\Documents and Settings\_пользователь_\Local Settings\Application Data\ayagbf.exe
Дополнительные алиасы Trojan-Downloader.Win32.Small.hwc
Downloader.Generic6.AFLG (AVG)
TR/Dldr.Small.hwc (AntiVir)
Trj/Downloader.SIA (Panda)
Trojan.DownLoader.44897 (DrWeb)
TrojanDownloader.Small.hwc (CAT-QuickHeal)
W32/DLoader.FKPZ (Norman)
AndreyKa
05.02.2008, 23:36
Алиасы
Backdoor/Agent.ehg (TheHacker)
Generic9.AXKP (AVG)
Trj/Downloader.SIA (Panda)
Troj/Agent-GNA (Sophos)
Trojan.DownLoader.46268 (DrWeb)
W32/Smalltroj.CQWT (Norman)
Встречен в темах
http://virusinfo.info/showthread.php?t=17495
http://virusinfo.info/showthread.php?t=17513
http://virusinfo.info/showthread.php?t=17522
http://virusinfo.info/showthread.php?t=17540
http://virusinfo.info/showthread.php?t=17548
http://virusinfo.info/showthread.php?t=17919
Файлы на диске
c:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
%USERPROFILE%\Local Settings\Application Data\cftmon.exe
c:\windows\system32\drivers\spool.exe
%UserProfile%\ftpdll.dll
C:\WINDOWS\system32\ftpdll.dll
ftpdll.dll детектируются как Trojan-Downloader.Win32.Small.hwc
Способ запуска
1) Служба: Schedule
Описание: Task Scheduler
C:\WINDOWS\system32\drivers\spool.exe
Группа: SchedulerGroup
2) Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, autoload
C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
3) Ключ реестра HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion \Run, autoload
C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
4) Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, ntuser
C:\WINDOWS\system32\drivers\spools.exe
5) Ключ реестра HKEY_CURRENT_USER,
Software\Microsoft\Windows\CurrentVersion\Run, ntuser
C:\WINDOWS\system32\drivers\spools.exe
Отличия Backdoor.Win32.Agent.eom
Алиасы
Backdoor.Agent.eom (CAT-QuickHeal)
BackDoor.FireOn (DrWeb)
Generic9.BBNJ (AVG)
Troj/Agent-GNA (Sophos)
W32/Agent.EOM!tr.bdr (Fortinet)
W32/Smalltroj.CUKE (Norman)
Win32:Small-JMK (Avast)
Встречен в темах
http://virusinfo.info/showthread.php?t=18156
http://virusinfo.info/showthread.php?t=18234
http://virusinfo.info/showthread.php?t=18273
http://virusinfo.info/showthread.php?t=18275
http://virusinfo.info/showthread.php?t=18294
Отличия Backdoor.Win32.Agent.etc
Алиасы
BACKDOOR.DIMPY.WIN32VBSY.Q (Prevx1)
SHeur.AVFC (AVG)
TR/Dldr.Small.AAKR.12 (AntiVir)
Trojan.Downloader.Small.AAKR (BitDefender)
Win32/TrojanDownloader.Agent.NVF (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=18779
http://virusinfo.info/showthread.php?t=18785
http://virusinfo.info/showthread.php?t=18858
AndreyKa
06.02.2008, 23:26
Алиасы
Trojan.MulDrop.6474 (DrWeb)
Trojan/PSW.OnLineGames.qmf (TheHacker)
W32.Gammima.AG (Symantec)
W32/Lineage.HJT.worm (Panda)
W32/NSAnti.GFI (Norman)
Win-Trojan/Autorun.103367 (AhnLab-V3)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Дополнительные алиасы amvo0.dll
PWS-LegMir.gen.k.dll (McAfee)
Trojan.PWS.Wsgame.2387 (DrWeb)
W32/NSAnti.GEK (Norman)
Win-Trojan/Autorun.54784.E (AhnLab-V3)
Win32/PSW.OnLineGames.NLK (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=17499
http://virusinfo.info/showthread.php?t=17535
http://virusinfo.info/showthread.php?t=17558
http://virusinfo.info/showthread.php?t=17604
http://virusinfo.info/showthread.php?t=17615
http://virusinfo.info/showthread.php?t=17638
http://virusinfo.info/showthread.php?t=17725
http://virusinfo.info/showthread.php?t=17816
http://virusinfo.info/showthread.php?t=18859
Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
%Temp%\zmcc.dll
autorun.inf и 2ifetri.cmd - на всех дисках в корневой папке
zmcc.dll детектируется как Rootkit.Win32.Agent.yr
Способ запуска
1. C:\WINDOWS\system32\amvo.exe Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Прописывает запуск через файл AUTORUN.INF в корне основного и съемных дисков.
Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.
Отличия Trojan-PSW.Win32.OnLineGames.qpu
Дополнительные алиасы
Trj/lineage.HKP (Panda)
Trojan/PSW.OnLineGames.qpu (TheHacker)
VirTool:Win32/Obfuscator.T (Microsoft)
W32/NSAnti.GFV (Norman)
Встречен в темах
http://virusinfo.info/showthread.php?t=17631
http://virusinfo.info/showthread.php?t=17634
http://virusinfo.info/showthread.php?t=17638
http://virusinfo.info/showthread.php?t=17787
http://virusinfo.info/showthread.php?t=17843
http://virusinfo.info/showthread.php?t=17954
Файлы на диске
%Temp%\em.dll
188qsm.bat в корне каждого диска.
em.dll детектируется как Trojan-PSW.Win32.OnLineGames.qou
Отличия Trojan-PSW.Win32.OnLineGames.qso
Дополнительные алиасы
Trj/Lineage.HLA (Panda)
Trojan/PSW.OnLineGames.qso (TheHacker)
W32/NSAnti.GGB (Norman)
Win-Trojan/OnlineGameHack.103404 (AhnLab-V3)
Win32/Frethog.AKC (eTrust-Vet)
amvo0.dll:
Trojan.Spy-23738 (ClamAV)
TrojanPSW.OnLineGames.qso (CAT-QuickHeal)
W32/NSAnti.GGA (Norman)
Win32/Frethog.AKH (eTrust-Vet)
Встречен в темах
http://virusinfo.info/showthread.php?t=17635
http://virusinfo.info/showthread.php?t=17665
http://virusinfo.info/showthread.php?t=17913
http://virusinfo.info/showthread.php?t=18577
Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
%Temp%\y5o.dll
autorun.inf и x.com - на всех дисках в корневой папке
AndreyKa
09.02.2008, 17:44
Алиасы
DNSChanger.K (AVG)
Trojan.DNSChanger.BX (BitDefender)
Win32.Trojan.DNSChanger.aum (CAT-QuickHeal)
Описание
Завершает процессы антивирусов. Внедряет свой код в память системных процессов. Сам в списке работающих программ отсутствует.
Встречен в темах
http://virusinfo.info/showthread.php?t=16595
http://virusinfo.info/showthread.php?t=16621
http://virusinfo.info/showthread.php?t=17684
http://virusinfo.info/showthread.php?t=17998
http://virusinfo.info/showthread.php?t=18026
Файлы на диске
Файл в папке C:\WINDOWS\system32 со случайным именем из 5 латинских букв, например:
C:\WINDOWS\system32\kdbzh.exe
C:\WINDOWS\system32\kdhpy.exe
C:\WINDOWS\system32\kdecb.exe
76800 байт
Способ запуска
kd???.exe
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, System
AndreyKa
09.02.2008, 19:54
Алиасы
Adware Generic2.AAXY (AVG)
Adware.BitAcc (DrWeb)
Adware/LinkOptimizer (Panda)
Troj/Dropper-RY (Sophos)
TROJAN.VB.RY (Prevx1)
Встречен в темах
http://virusinfo.info/showthread.php?t=17540
http://virusinfo.info/showthread.php?t=17710
http://virusinfo.info/showthread.php?t=17767
http://virusinfo.info/showthread.php?t=18518
http://virusinfo.info/showthread.php?t=18570
http://virusinfo.info/showthread.php?t=18620
http://virusinfo.info/showthread.php?t=18755
Файлы на диске
C:\Program Files\ConnectionServices\ConnectionServices.dll
420352 байт
Способ запуска
C:\Program Files\ConnectionServices\ConnectionServices.dll
BHO {6D7B211A-88EA-490c-BAB9-3600D8D7C503}
AndreyKa
10.02.2008, 21:41
Алиасы
Agent.NMR (AVG)
TR/Agent.edu.2 (AntiVir)
Trojan.Agent-12855 (ClamAV)
Trojan.Agent.AGKK (BitDefender)
Trojan.Agent.dyo (CAT-QuickHeal)
Trojan.DoS.Win32.Opdos (Prevx1)
Trojan.Okuks (DrWeb)
Trojan/Agent.edu (TheHacker)
W32/Agent.EDQY (Norman)
W32/Agent.EDU!tr (Fortinet)
Встречен в темах
http://virusinfo.info/showthread.php?t=16830
http://virusinfo.info/showthread.php?t=16981
http://virusinfo.info/showthread.php?t=17670
http://virusinfo.info/showthread.php?t=17808
http://virusinfo.info/showthread.php?t=18791
Файлы на диске
Файл со случайным именем (base*32.dll) в папке C:\WINDOWS\system32, например:
C:\WINDOWS\system32\baseqhnjm32.dll
C:\WINDOWS\system32\baseoaera32.dll
C:\WINDOWS\system32\basemqai32.dll
C:\WINDOWS\system32\baseqxkha32.dll
24576 байт
Способ запуска
Прописывает свой автозапуск в реестре оригинальным способом, в ключе Windows раздела [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems].
Так что при удалениии файла компьютер не может загрузиться в любом режиме.
Примечание
Антивирус DrWeb (CureIt!) может либо "вылечить" троянскую библиотеку, чтобы она загружалась, но была безвредной, либо удалить, исправив при этом реестр.
Антивирус Касперского может корректно удалить трояна.
Но возможны проблемы из-за того, что постоянно появляются новые модификации.
AndreyKa
12.02.2008, 23:26
Алиасы
TR/Dldr.Small.iih.1 (AntiVir)
Trojan.DownLoader.46268 (DrWeb)
TrojanDownloader.Small.iih (CAT-QuickHeal)
W32/Small.IIH!tr.dldr (Fortinet)
Встречен в темах
http://virusinfo.info/showthread.php?t=17685
http://virusinfo.info/showthread.php?t=17853
http://virusinfo.info/showthread.php?t=17856
http://virusinfo.info/showthread.php?t=17865
http://virusinfo.info/showthread.php?t=18347
http://virusinfo.info/showthread.php?t=18609
Файлы на диске
c:\windows\system32\drivers\spool.exe
%USERPROFILE%\local settings\application data\cftmon.exe
%System%\msftp.dll - детектируется как Trojan-Downloader.Win32.Small.hwc
Способ запуска
%USERPROFILE%\Local Settings\Application Data\cftmon.exe
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, autoload
C:\WINDOWS\system32\drivers\spool.exe
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, ntuser
AndreyKa
13.02.2008, 23:56
Алиасы
Adware.Virtumonde-587 (ClamAV)
AdWare.Virtumonde.dnn (CAT-QuickHeal)
AdWare.Win32.Agent.zpb (Rising)
Lop (AVG)
Spyware/Virtumonde (Panda)
TR/Vundo.DWB (AntiVir)
Troj/Virtum-Gen (Sophos)
Trojan-Downloader.Win32.ConHook.gen (Sunbelt)
Trojan:Win32/Vundo.X (Microsoft)
Trojan.Metajuan (Symantec)
Trojan.Virtumod.260 (DrWeb)
Trojan.Vundo.DWB (BitDefender)
Vundo.gen56 (F-Secure)
W32/Virtumonde.PM (F-Prot)
Win32:TratBHO (Avast)
Win32/Adware.SecToolbar (NOD32v2)
Описание
Устанавливается вредоносными программами или скачивается с вредоносных сайтов с использованием эксплойтов для Internet Explorer.
Функционирует как модуль системных процессов winlogon.exe, lsass.exe и др.
Завершает работу антивирусных программ. Скачивает программы из Интернета.
Показывает рекламу при посещении определенных веб-сайтов.
Источники:
http://www.sophos.com/virusinfo/analyses/trojvirtumgen.html
http://www.symantec.com/security_response/writeup.jsp?docid=2007-030112-0714-99&tabid=2 (анг.)
Встречен в темах
http://virusinfo.info/showthread.php?t=16155
http://virusinfo.info/showthread.php?t=16324
http://virusinfo.info/showthread.php?t=16346
http://virusinfo.info/showthread.php?t=16362
http://virusinfo.info/showthread.php?t=16496
http://virusinfo.info/showthread.php?t=16840
http://virusinfo.info/showthread.php?t=17466
http://virusinfo.info/showthread.php?t=17710
http://virusinfo.info/showthread.php?t=17785
http://virusinfo.info/showthread.php?t=17953
http://virusinfo.info/showthread.php?t=17974
http://virusinfo.info/showthread.php?t=17985
http://virusinfo.info/showthread.php?t=18159
http://virusinfo.info/showthread.php?t=18295
http://virusinfo.info/showthread.php?t=18839
Файлы на диске
dll файл со случайным именем из латинских букв в папке C:\WINDOWS\system32
Например:
C:\WINDOWS\system32\utqgukka.dll
C:\WINDOWS\System32\mllmj.dll
Способ запуска
BHO, CLSID случайный.
Зайцев Олег
14.02.2008, 19:43
Ползучая эпидемия продолжается.
Я добавил в AVZ эвристику для детекта описанных выше зверей семейства Worm.Win32.AutoRun.*, обновление баз с этой фичей выйдет завтра
AndreyKa
16.02.2008, 12:50
Алиасы
PSW.Generic5.AIDA (AVG)
Rootkit/Spammer.AGA (Panda)
Spy-Agent.bv (McAfee)
Troj/Pushu-Gen (Sophos)
Trojan-Downloader.Agent.ZAR (Sunbelt)
Trojan.Downloader-22556 (ClamAV)
Trojan.Nudos (Prevx1)
Trojan.Pandex.AD (BitDefender)
Trojan.Rntm (DrWeb)
Trojan/Downloader.Agent.ici (TheHacker)
VirTool:WinNT/Cutwail.F (Microsoft)
W32/Agent.EETK (Norman)
W32/Agent.ZAR!tr.dldr (Fortinet)
Win-Trojan/Agent.25472 (AhnLab-V3)
Win32/Wigon.AV (NOD32v2)
Worm.Ntech.sd (CAT-QuickHeal)
Worm/Ntech.Z.4 (AntiVir)
Описание
Прописывет себя в реестр для повторного запуска.
Загружает вредоносные программы из сети Интернет и устанавливает их на компьютер.
Понижает уровень защиты системы безопасности.
Функционирует как модуль пространства ядра.
http://www.sophos.com/virusinfo/analyses/trojpushugen.html (анг.)
Встречен в темах
http://virusinfo.info/showthread.php?t=17454
http://virusinfo.info/showthread.php?t=17707
http://virusinfo.info/showthread.php?t=17882
Файлы на диске
sys файл в папке C:\WINDOWS\System32\Drivers со случайным именем из трех латинских букв и двух цифр. Например:
C:\WINDOWS\System32\Drivers\Nsf45.sys
C:\WINXP\system32\Drivers\Vch17.sys
Способ запуска
Драйвер с именем как у файла.
Группа: SCSI Class
Внешние проявления (со слов пользователей)
Процесс svchost.exe постоянно требует связи с разнообразными адресами.
AndreyKa
16.02.2008, 18:14
Алиасы
Agent.NHU (AVG)
Backdoor:WinNT/Nuwar.D!sys (Microsoft)
Proxy.Agent.xo (Ewido)
TR/Proxy.Agent.XO (AntiVir)
Trj/Spammer.AFM (Panda)
Troj/Tibs-TX (Sophos)
Trojan.Peed.IUO (BitDefender)
Trojan.Proxy-2401 (ClamAV)
Trojan.Spambot.2887 (DrWeb)
Trojan.Win32.Undef.cft (Rising)
Trojan/Proxy.Agent.xo (TheHacker)
TrojanProxy.Agent.xo (CAT-QuickHeal)
W32/Agent.XO!tr (Fortinet)
W32/Tibs.BIGD (Norman)
Win32/TrojanProxy.Agent.XH (NOD32v2)
Описание
Работает в паре с вредоносным файлом taskmon.exe
Отключает антивирусы.
Встречен в темах
http://virusinfo.info/showthread.php?t=17587
http://virusinfo.info/showthread.php?t=17830
http://virusinfo.info/showthread.php?t=18026
http://virusinfo.info/showthread.php?t=19417
Файлы на диске
C:\WINDOWS\system32\taskmon.sys
18368 байт
Способ запуска
Драйвер: taskmon.sys
AndreyKa
16.02.2008, 19:34
Алиасы
Generic5.NVS (AVG)
Hacktool.Rootkit (Symantec)
NTRootKit-J (McAfee)
Rootkit/Agysteo.Q (Panda)
TR/Agent.asu.1 (AntiVir)
Troj/NtRootK-CA (Sophos)
Trojan.Agent-7047 (ClamAV)
Trojan.Agent.ABGK (BitDefender)
Trojan.Agent.asu (Ewido)
Trojan.NtRootKit.312 (DrWeb)
TROJAN.ROOTKIT.L (Prevx1)
Trojan.Win32.Agent.tsn (Rising)
Trojan/Agent.asu (TheHacker)
VirTool:WinNT/Smallrk.F (Microsoft)
W32/Agent.ASU!tr (Fortinet)
W32/Agent.BXAD (Norman)
W32/Trojan.BKOF (F-Prot)
Win-Trojan/Rootkit.7923 (AhnLab-V3)
Win32:Agent-KDC (Avast)
Win32.Agent.asu (eSafe)
Win32/Fledib.A (eTrust-Vet)
Win32/Rootkit.Agent.NCR (NOD32v2)
Описание
Функционирует как модуль пространства ядра.
Перехватывает Функции ядра. Используется другими вредоносными программами для сокрытия своего присутствия в системе.
Встречен в темах
http://virusinfo.info/showthread.php?t=16768
http://virusinfo.info/showthread.php?t=17755
http://virusinfo.info/showthread.php?t=18009
http://virusinfo.info/showthread.php?t=19212
Файлы на диске
C:\WINDOWS\system32\DefLib.sys
7923 байт.
AndreyKa
16.02.2008, 21:22
Алиасы
a variant of Win32/TrojanDownloader.Tiny.NJ (NOD32v2)
Downloader.Generic6.AIIC (AVG)
Trj/Downloader.SOQ (Panda)
Trojan-Downloader.Small.AAJM (Sunbelt)
Trojan.DownLoader.47222 (DrWeb)
Trojan.Downloader.Small.AAJM (BitDefender)
Trojan/Downloader.Small.gen (TheHacker)
TrojanDownloader:Win32/Tipikit.B (Microsoft)
TrojanDownloader.Winlagons.a (CAT-QuickHeal)
Win-Trojan/Downloader.6144.ND (AhnLab-V3)
Описание
При запуске создает и запускает службу "Google Online Search Service" для копии своего файла.
Прописывает также службу в ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 для предотвращения своего удаления выбором последней удачной конфигурации при запуске Windows.
Скачивает с домена bulletproofstuff.com файл с ссылками на вредоносные файлы. На данный момент по этим ссылкам (сайты 58.65.239.42 и 0ci.ru) находятся:
Trojan-Proxy.Win32.Xorpix.cu
Trojan-Proxy.Win32.Saturn.al
Trojan-Downloader.Win32.Small.cib
Email-Worm.Win32.Zhelatin.vg
Trojan.Win32.Small.afy
Trojan-Downloader.Win32.Agent.jea
AdWare.Win32.BHO.aaw
Встречен в темах
http://virusinfo.info/showthread.php?t=17998
http://virusinfo.info/showthread.php?t=17999
http://virusinfo.info/showthread.php?t=18014
Файлы на диске
%UserProfile%\ie_updates3r.exe
c:\windows\system32\winlagons.exe
6144 байт
Способ запуска
Служба: Google Online Search Service
Описание: Google Online Search Service
C:\WINDOWS\system32\winlagons.exe
AndreyKa
16.02.2008, 22:04
Алиасы
Downloader.Generic_c.ML (AVG)
TR/Agent.eub.1 (AntiVir)
Trj/Agent.IAB (Panda)
Troj/Agent-GPK (Sophos)
Trojan.Agent.AGVF (BitDefender)
Trojan.Agent.eub.1 (Webwasher-Gateway)
Trojan.DL.Wigon.Gen.6 (VirusBuster)
Trojan.DoS.Win32.Opdos (Prevx1)
Trojan.DownLoader.46414 (DrWeb)
Trojan/Agent.eub (TheHacker)
W32/Agent.EGFQ (Norman)
W32/Agent.EUB!tr (Fortinet)
Встречен в темах
http://virusinfo.info/showthread.php?t=17853
http://virusinfo.info/showthread.php?t=17882
http://virusinfo.info/showthread.php?t=18014
http://virusinfo.info/showthread.php?t=18064
http://virusinfo.info/showthread.php?t=18174
http://virusinfo.info/showthread.php?t=18832
http://virusinfo.info/showthread.php?t=19295
Файлы на диске
C:\WINDOWS\system32\LogCrypt.dll
8704 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\LogCrypt,
DLLName LogCrypt.dll
AndreyKa
17.02.2008, 11:46
Алиасы
TR/Agent.fdn (AntiVir)
Trojan.Agent.fdn (CAT-QuickHeal)
Trojan.Small-5027 (ClamAV)
Trojan.Spambot.2384 (DrWeb)
W32/Agent.FDN!tr (Fortinet)
Win32/TrojanProxy.Small.NAR (NOD32v2)
Дополнительные алиасы для Trojan-Dropper.Win32.Agent.elj
TR/Drop.Agent.elj (AntiVir)
Trojan.Drop.Agent.elj (Webwasher-Gateway)
Trojan.Dropper.Rootkit.NBR (BitDefender)
Trojan/Dropper.Agent.elj (TheHacker)
TrojanDropper.Agent.elj (CAT-QuickHeal)
W32/Agent.ELJ!tr (Fortinet)
Дополнительные алиасы для Trojan.Win32.Buzus.lj
LdPinch.STT (Norman)
Trojan.Agent-11935 (ClamAV)
Trojan.Agent.dvf (CAT-QuickHeal)
Trojan.DL.Win32.Agent.bxw (Rising)
Trojan.Packed.147 (DrWeb)
Trojan.PSW.LdPinch.AKX (BitDefender)
Trojan.Win32.Agent.dvf (VBA32)
Trojan/Agent.dvf (TheHacker)
W32/Agent.DVF!tr (Fortinet)
Win-Trojan/Buzus.42496 (AhnLab-V3)
Описание
Имеет возможности отправки email по протоколу SMTP.
Внедряет програмный код в процесс explorer.exe
Устанавливает в систему вредоносный драйвер режима ядра (Trojan.Win32.Agent.asu)
Trojan.Win32.Agent.fdn встречен в темах
http://virusinfo.info/showthread.php?t=17817
http://virusinfo.info/showthread.php?t=17865
http://virusinfo.info/showthread.php?t=18034
Trojan-Dropper.Win32.Agent.elj:
http://virusinfo.info/showthread.php?t=17998
http://virusinfo.info/showthread.php?t=18014
http://virusinfo.info/showthread.php?t=18074
Trojan.Win32.Buzus.lj:
http://virusinfo.info/showthread.php?t=16358
http://virusinfo.info/showthread.php?t=17164
http://virusinfo.info/showthread.php?t=18172
Trojan-Proxy.Win32.Agent.xp:
Алиасы
Backdoor.Win32.Small.lu (Sunbelt)
Generic9.AULI (AVG)
NTRootKit-J (McAfee)
Proxy.Agent.xp (Ewido)
Trojan.Packed.147 (DrWeb)
Trojan.Proxy-2376 (ClamAV)
Trojan/Proxy.Agent.xp (TheHacker)
TrojanProxy.Agent.xp (CAT-QuickHeal)
Virus:Win32/Grum.E (Microsoft)
W32/Agent.ECZC (Norman)
Win-Trojan/OnlineGameHack.35840.E (AhnLab-V3)
Win32:Agent-SMZ (Avast)
Win32.Agent.xp (eSafe)
Встречен в темах
http://virusinfo.info/showthread.php?t=17220
http://virusinfo.info/showthread.php?t=17315
http://virusinfo.info/showthread.php?t=18694
Файлы на диске
%UserProfile%\Local Settings\Temp\winlogon.exe
39424 байт или 42496 байт для Trojan.Win32.Buzus.lj
Может распологатся в другом месте, там куда указывает переменная %Temp%
Создает файл:
C:\Windows\System32\DefLib.sys - детектируется как Trojan.Win32.Agent.asu
Способ запуска
Ключ реестра HKEY_CURRENT_USER,
Software\Microsoft\Windows\CurrentVersion\Run,
Firewall auto setup
AndreyKa
17.02.2008, 14:05
Алиасы
PWS-LegMir.gen.k (McAfee)
PWS:Win32/OnLineGames.CSE (Microsoft)
Trojan.Autorun-193 (ClamAV)
Trojan.MulDrop.6474 (DrWeb)
W32/AutoRun.BPK (Norman)
W32/AutoRun.cmc (TheHacker)
W32/Lineage.HLY.worm (Panda)
Win32/Frethog.AKM (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Описание
Червь распространяющийся копированием самого себя на сменные носители. Похищает пароли к различным интернет-играм.
Встречен в темах
http://virusinfo.info/showthread.php?t=17164
http://virusinfo.info/showthread.php?t=17920
http://virusinfo.info/showthread.php?t=18057
http://virusinfo.info/showthread.php?t=18081
http://virusinfo.info/showthread.php?t=19149
Файлы на диске
C:\0hct8ybw.bat
C:\autorun.inf
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
C:\WINDOWS\system32\amvo.exe
%Temp%\i2ir.dll
autorun.inf и 0hct8ybw.bat - на всех дисках в корневой папке
Способ запуска
1. Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
Отличия Trojan-PSW.Win32.OnLineGames.rbj
Дополнительные алиасы для Trojan-PSW.Win32.OnLineGames.rbj
Trj/Lineage.HMG (Panda)
Trojan/PSW.OnLineGames.rbj (TheHacker)
VirTool:Win32/Obfuscator.T (Microsoft)
W32/NSAnti.GJA (Norman)
Win32/Frethog.AKR (eTrust-Vet)
amvo0.dll
Trojan.PWS.Wsgame.2387 (DrWeb)
TrojanPSW.OnLineGames.rbj (CAT-QuickHeal)
W32.Gammima.AG (Symantec)
W32/OnLineGames.AKLI (Norman)
Win32/PSW.OnLineGames.NLK (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=18057
http://virusinfo.info/showthread.php?t=18102
http://virusinfo.info/showthread.php?t=18157
Файлы на диске
C:\x.com
%Temp%\dsr8q.dll
autorun.inf детектируется как Worm.Win32.AutoRun.cnw
Отличия Trojan-PSW.Win32.OnLineGames.rbj
Дополнительные алиасы для Worm.Win32.AutoRun.cpq
Mal/EncPk-CE (Sophos)
Trojan.Lineage.Gen!Pac.3 (VirusBuster)
Trojan.PSW.Win32.GamesOnline.nm (Rising)
W32/NSAnti.GNC (Norman)
Worm/Generic.FYT (AVG)
amvo0.dll
Trojan.PWS.Wsgame.3434 (DrWeb)
W32/NSAnti.GNE (Norman)
Win32/PSW.OnLineGames.NMP (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=15961
http://virusinfo.info/showthread.php?t=18321
http://virusinfo.info/showthread.php?t=18438
Файлы на диске
C:\gumkrhf.bat
%Temp%\l4rq2a7.dll
Trojan-PSW.Win32.OnLineGames.rmm
Встречен в темах
http://virusinfo.info/showthread.php?t=18321
http://virusinfo.info/showthread.php?t=18384
http://virusinfo.info/showthread.php?t=18449
Файлы на диске
C:\oufddh.exe
Trojan-PSW.Win32.OnLineGames.qip
Встречен в темах
http://virusinfo.info/showthread.php?t=17382
http://virusinfo.info/showthread.php?t=17455
http://virusinfo.info/showthread.php?t=18439
Файлы на диске
C:\h.cmd
Trojan-PSW.Win32.OnLineGames.rpy
Встречен в темах
http://virusinfo.info/showthread.php?t=18504
http://virusinfo.info/showthread.php?t=18514
http://virusinfo.info/showthread.php?t=18516
http://virusinfo.info/showthread.php?t=18646
Файлы на диске
C:\oufddh.exe
AndreyKa
20.02.2008, 17:01
Алиасы
Backdoor.SDBot.DFCV (BitDefender)
Lop.BG (Prevx1)
Trojan.DownLoader.38518 (DrWeb)
TrojanDownloader.Small.ilt (CAT-QuickHeal)
Встречен в темах
http://virusinfo.info/showthread.php?t=18156
http://virusinfo.info/showthread.php?t=18234
http://virusinfo.info/showthread.php?t=18294
http://virusinfo.info/showthread.php?t=18445
http://virusinfo.info/showthread.php?t=18473
http://virusinfo.info/showthread.php?t=19174
Файлы на диске
C:\WINDOWS\system32\sysfldr.dll
14336 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sysfldr, DLLName
sysfldr.dll
AndreyKa
23.02.2008, 22:17
Алиасы
Bck/Spambot.G (Panda)
Generic9.AZND (AVG)
TR/Dldr.Agent.jgt (AntiVir)
Trojan.Agent.6144.156 (Webwasher-Gateway)
Trojan.DownLoader.38520 (DrWeb)
Trojan/Downloader.Agent.jgt (TheHacker)
TrojanDownloader.Agent.jgt (CAT-QuickHeal)
W32/Malware.CCAM (Norman)
Встречен в темах
http://virusinfo.info/showthread.php?t=18262
http://virusinfo.info/showthread.php?t=18343
http://virusinfo.info/showthread.php?t=18483
http://virusinfo.info/showthread.php?t=19545
Файлы на диске
exe файл в временной папке, имя начинается с win и заканчивается несколькими случайными латинскими буквами. Например:
C:\DOCUME~1\user\LOCALS~1\Temp\wineuje.exe
Способ запуска
Ключ реестра HKEY_CURRENT_USER,
Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell
"Explorer.exe "C:\DOCUME~1\user\LOCALS~1\Temp\win????.exe""
AndreyKa
24.02.2008, 06:15
Алиасы
BackDoor.Generic9.EFP (AVG)
Rkit/Agent.DQ.31.A (AntiVir)
Rootkit.Agent.DQ.31.A (Webwasher-Gateway)
Rootkit.Agent.DQ.A (Sunbelt)
Rootkit.Agent.pr (Ewido)
Rootkit.Pandex.Gen.2 (VirusBuster)
Rootkit.Win32.Agent.pr (VBA32)
Rootkit/Agent.HML (Panda)
Troj/Agent-GIS (Sophos)
Trojan.Kobcka.BE (BitDefender)
Trojan.NtRootKit.497 (DrWeb)
Trojan.Pandex (Symantec)
Trojan.Rootkit-286 (ClamAV)
Trojan.Win32.Undef.cz (Rising)
Trojan/Agent.pr (TheHacker)
VirTool:WinNT/Cutwail.C (Microsoft)
W32/Pushu.PR!tr (Fortinet)
W32/Smalltroj.CDMZ (Norman)
Win-Trojan/Rootkit.7680.F (AhnLab-V3)
Win32:Agent-NJB (Avast)
Win32/Cutwail!generic (eTrust-Vet)
Win32/Rootkit.Agent.DP (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=16089
http://virusinfo.info/showthread.php?t=17685
http://virusinfo.info/showthread.php?t=17707
http://virusinfo.info/showthread.php?t=18506
http://virusinfo.info/showthread.php?t=18694
http://virusinfo.info/showthread.php?t=18937
http://virusinfo.info/showthread.php?t=19580
Файлы на диске
C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
29056 байт
Файл трояна заменяет собой существующий системный файл.
Способ запуска
Драйвер.
Описание: Драйвер брандмауэра Windows для IPv6
C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
AndreyKa
25.02.2008, 20:36
Алиасы
BackDoor.Generic9.OBZ (AVG)
Generic.dx (McAfee)
Infostealer.Ldpinch.C (Symantec)
Rkit/Agent.VN (AntiVir)
Rootkit.Agent.vn (Ewido)
Trojan.NtRootKit.815 (DrWeb)
Trojan/Agent.vn (TheHacker)
VirTool:WinNT/Chksyn.A (Microsoft)
W32/Agent.VN!tr.rkit (Fortinet)
W32/Rootkit.CQB (Norman)
Встречен в темах
http://virusinfo.info/showthread.php?t=17885
http://virusinfo.info/showthread.php?t=18538
http://virusinfo.info/showthread.php?t=18609
Файлы на диске
C:\Program Files\Common Files\System\winmgt32k.dll
и
C:\Program Files\Common Files\System\sysvideo32.dll
2816 байт
Способ запуска
Драйвер с именем как у файла: winmgt32k или sysvideo32
Функционирует как модуль пространства ядра.
Примечание
Детектируется AVZ, но при сканировании со стандартными настройками не удаляется:
3. Сканирование дисков
C:\Program Files\Common Files\System\sysvideo32.dll >>>>> Rootkit.Win32.Agent.vn удаление запрещено настройкой
Зайцев Олег
26.02.2008, 22:35
Trojan-Downloader.Win32.Diehard.dr
....
Файлы на диске
C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
29056 байт
Файл трояна заменяет собой существующий системный файл.
Способ запуска
Драйвер.
Описание: Драйвер брандмауэра Windows для IPv6
C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
Данные из моей базы: такой подменненный файл может также детектироваться как Rootkit.Win32.Agent.pr, Rootkit.Win32.Agent.dp, Trojan-Downloader.Win32.Agent.acl.
AndreyKa
01.03.2008, 13:16
Описание
Ворует логины и пароли.
Trojan-Spy.Win32.Goldun.wp содержит список доменов с антивирусных компаний (видимо для блокирования обновлений антивирусов).
Rootkit.Win32.Agent.abc содержит строку avz.exe, то есть пытается противодействовать лечению с помощью этой утилиты.
Встречены в темах
http://virusinfo.info/showthread.php?t=18297
http://virusinfo.info/showthread.php?t=18340
http://virusinfo.info/showthread.php?t=18672
Алиасы Trojan-Spy.Win32.Goldun.wp
Generic.Malware.SFYdlwdld.08A1552D (BitDefender)
Generic9.BCLQ (AVG)
Logger.Goldun.wp (Ewido)
TR/Agent.22441 (AntiVir)
Trj/ProxyServer.BA (Panda)
Trojan.Agent.22441 (Webwasher-Gateway)
Trojan.PWS.GoldSpy (DrWeb)
Trojan/Spy.Goldun.wp (TheHacker)
TrojanSpy:Win32/Goldun.gen!dll (Microsoft)
TrojanSpy.Goldun.wp (CAT-QuickHeal)
Win-Trojan/Goldun.22441 (AhnLab-V3)
Win32/Spy.Goldun.WP (NOD32v2)
Файлы на диске
C:\WINDOWS\system32\alcomt.dll
22441 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\alcomt, DLLName
Алиасы Rootkit.Win32.Agent.abc
BackDoor.Generic9.UNZ (AVG)
Rootkit.Agent.abc (CAT-QuickHeal)
Trj/ProxyServer.BA (Panda)
Trojan/Agent.abc (TheHacker)
VirTool:WinNT/HideDrv.gen!A (Microsoft)
W32/Goldun.gen3 (F-Prot)
W32/Rootkit.DJX (Norman)
Win32/Spy.Goldun.WP (NOD32v2)
Файлы на диске
C:\WINDOWS\system32\alcom.sys
8416 байт
Способ запуска
Драйвер: alcom
Описание: ALcom server
C:\WINDOWS\system32\alcom.sys
Внешние проявления (со слов пользователей)
В нормальном режиме антивирусы не запускаются.
В нормальном режиме не виден сам avz.exe.
AndreyKa
01.03.2008, 15:17
Алиасы
BZub.ARU (Norman)
Downloader.Delf.12.AK (AVG)
TR/BHO.agz.9 (AntiVir)
Trj/Downloader.RKS (Panda)
Troj/BHO-EL (Sophos)
Trojan-Spy.Bzub.NGP (Sunbelt)
Trojan:Win32/Boaxxe.C (Microsoft)
Trojan.BHO-1189 (ClamAV)
Trojan.BHO.agz (Ewido)
Trojan.DownLoader.38058 (DrWeb)
Trojan.Spy.Bzub.NGP (BitDefender)
Trojan/BHO.agz (TheHacker)
W32/BHO.AGZ!tr (Fortinet)
Win32: Pakes-AKM (Avast)
Win32/BHO.AGZ (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=18332
http://virusinfo.info/showthread.php?t=18438
http://virusinfo.info/showthread.php?t=18773
http://virusinfo.info/showthread.php?t=19073
http://virusinfo.info/showthread.php?t=19298
Файлы на диске
dll файл в системной папке с различными именами, например:
c:\windows\system32\iassvc.dll
c:\windows\system32\adsld.dll
C:\WINDOWS\system32\asycfil.dll
C:\WINDOWS\system32\appmg.dll
Способ запуска
BHO, CLSID случайный.
AndreyKa
01.03.2008, 20:36
Алиасы
Backdoor.Agent.eqw (CAT-QuickHeal)
BackDoor.Agent.QTQ (AVG)
Generic BackDoor.t (McAfee)
Generic.Malware.SFYdlwdld.800CFBB7 (BitDefender)
TR/Agent.22447 (AntiVir)
Trojan.PWS.GoldSpy (DrWeb)
W32/Agent.EIZE (Norman)
Встречен в темах
http://virusinfo.info/showthread.php?t=18530
http://virusinfo.info/showthread.php?t=18779
http://virusinfo.info/showthread.php?t=18867
http://virusinfo.info/showthread.php?t=19022
http://virusinfo.info/showthread.php?t=19407
Файлы на диске
C:\WINDOWS\system32\mplink.dll
22447 байт
Создает папку install_temp_318
Устанавливает в систему драйвер fprot.sys - Rootkit.Win32.Agent.abo
Способ запуска
1. Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mplink, DLLName
mplink.dll
2. Драйвер fprot
C:\WINDOWS\system32\fprot.sys
Описание: FT StarForce Protector
Внешние проявления (со слов пользователей)
Когда запускаешь любой .EXE или .RAR файл создается папка install_temp_318 в этой дериктории откуда запускается файл.
При распаковке AVZ, в папке куда распаковывал в норм режиме нету exe файла, в безопасном есть.
AndreyKa
01.03.2008, 23:25
Алиасы
Email-Worm.Win32.Warezov.et (Sunbelt)
I-Worm.Warezov.et (CAT-QuickHeal)
I-Worm/Stration.BOC (AVG)
W32.HLLP.Sality (Symantec)
W32/Sality-AD (Sophos)
W32/Sality.AF (F-Prot)
W32/Sality.dll (McAfee)
W32/Sality.Y (Panda)
W32/Saltiy.S (AntiVir)
W32/Stration.EFZ (Norman)
W32/Stration.ET@mm (Fortinet)
W32/Warezov.et (TheHacker)
Win-Trojan/Sality.40960 (AhnLab-V3)
Win32:KillAV-CP (Avast)
Win32.Sality.m (Rising)
Win32.Sector.28682 (DrWeb)
Win32.Warezov.ET@mm (BitDefender)
Win32/Sality.NAM (NOD32v2)
Win32/Sality.S (eTrust-Vet)
Worm:Win32/Sality.T.dll (Microsoft)
Worm.Stration.XR-1 (ClamAV)
Worm.Warezov.et (Ewido)
Дополнительные алиасы драйвера
Generic3.KXG (AVG)
TR/Drop.Warezov.A.1 (AntiVir)
Trojan.Ipsof (DrWeb)
Trojan/Sality.s (TheHacker)
VirTool:Win32/Rootkit.C (Microsoft)
W32/Rootkit.D!tr (Fortinet)
W32/Sality.W (Norman)
W32/Sality.X.drp (Panda)
Win-Trojan/Sality.5477 (AhnLab-V3)
Win32.Warezov.96 (BitDefender)
Worm.Sality.s (CAT-QuickHeal)
Описание
Файловый вирус заражет файлы с расширениями .EXE и .SCR. Записывает нажимаемые пользователем клавиши. Затем отправляет эти записи по электронной почте.
Встречен в темах
http://virusinfo.info/showthread.php?t=17573
http://virusinfo.info/showthread.php?t=18343
http://virusinfo.info/showthread.php?t=18854
http://virusinfo.info/showthread.php?t=19369
http://virusinfo.info/showthread.php?t=19545
Файлы на диске
Заражает выполняемые файлы. Кроме этого создает свои:
c:\windows\system32\wmdrtc32.dll
40960 байт
C:\WINDOWS\system32\drivers\_случайное_имя_.sys
5477 байт
Способ запуска
1. Через зараженный файл.
2. Драйвер: NdisFileServices32
Описание: NdisFileServices32
C:\WINDOWS\system32\drivers\_случайное_имя_.sys
Внешние проявления (со слов пользователей)
Нарушается работа антивирусных програм, их файлы удаляются. Доступ к сайтам антивирусных компаний заблокирован.
AndreyKa
02.03.2008, 19:28
Алиасы
Generic9.BELN (AVG)
Hoax.Renos.awn (CAT-QuickHeal)
Troj/Agent-GQQ (Sophos)
Trojan.Fakealert.438 (DrWeb)
Trojan.FakeAlert.PZ (BitDefender)
Win32/Adware.SpyKillerPro (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=18791
http://virusinfo.info/showthread.php?t=18899
http://virusinfo.info/showthread.php?t=18949
http://virusinfo.info/showthread.php?t=18950
http://virusinfo.info/showthread.php?t=19121
Файлы на диске
%Temp%\~~install.dll
13312 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \SharedTaskScheduler,
CLSID: {24E31EA9-FCE2-404F-BD80-20543565D946}
Внешние проявления (со слов пользователей)
Сообщения о том, что компьютер заражен Trojan.SpyAgent.Da
AndreyKa
02.03.2008, 22:01
Алиасы
Generic9.APXO (AVG)
TR/Zapchast.DT.1 (AntiVir)
Trj/ZapChast.DO (Panda)
Trojan.Starter.341 (DrWeb)
Trojan.Zachpast-37 (ClamAV)
Trojan/Zapchast.dt (TheHacker)
W32/Zapchast.BEC (Norman)
W32/Zapchast.DT!tr (Fortinet)
W32/Zapchast.K (F-Prot)
Win-Trojan/Zapchast.7168.C (AhnLab-V3)
Встречен в темах
http://virusinfo.info/showthread.php?t=17710
http://virusinfo.info/showthread.php?t=18194
http://virusinfo.info/showthread.php?t=18962
http://virusinfo.info/showthread.php?t=19004
Файлы на диске
C:\WINDOWS\System32\windows
файл с именем без расширения 7168 байт
Способ запуска
Служба: MSControlService
Описание: Microsoft cache control
Файл: C:\WINDOWS\System32\windows
AndreyKa
02.03.2008, 22:38
Алиасы
Trojan.DownLoader.49451 (DrWeb)
TrojanDropper:Win32/Cutwail.Y (Microsoft)
Встречен в темах
http://virusinfo.info/showthread.php?t=18937
http://virusinfo.info/showthread.php?t=18982
http://virusinfo.info/showthread.php?t=18986
http://virusinfo.info/showthread.php?t=19023
Файлы на диске
C:\WINDOWS\system32\WLCtrl32.dll
11776 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32, DLLName
WLCtrl32.dll
AndreyKa
02.03.2008, 23:17
Алиасы
BackDoor.Generic9.FHC (AVG)
Rootkit.Agent.px (Ewido)
Troj/RKAgen-Fam (Sophos)
Trojan:Win32/Srizbi.gen (Microsoft)
Trojan.Rootkit-264 (ClamAV)
Trojan.Sentinel (DrWeb)
Trojan.Srizbi (Symantec)
Trojan/Agent.px (TheHacker)
W32/RKAgen.PX!tr.rkit (Fortinet)
W32/Rootkit.AVX (Norman)
Win-Trojan/RootKit.185344 (AhnLab-V3)
Win32:Srizbi (Avast)
Win32/Rootkit.Agent.HU (NOD32v2)
Описание
Функционирует как драйвер пространства ядра.
Запускается и в безопасном режиме. Успешно маскируется от AVZ - отсутствует в списке установленных драйверов.
Встречен в темах
http://virusinfo.info/showthread.php?t=16257
http://virusinfo.info/showthread.php?t=17455
http://virusinfo.info/showthread.php?t=18940
http://virusinfo.info/showthread.php?t=18999
Файлы на диске
Файл с расширением sys и случайным именем из 3-4х латинских букв и двух цифр в папке c:\windows\system32\drivers
Например: c:\windows\system32\drivers\Cprk72.sys
185344 байт
Способ запуска
Драйвер.
Внешние проявления (со слов пользователей)
При подключении к сети через пару минут начинает быстро уходить трафик, в обе стороны, но от меня раза в 2-3 больше.
AndreyKa
04.03.2008, 23:03
Алиасы
BackDoor.Generic9.EAP (AVG)
Rootkit.Agent.pq (Ewido)
Rootkit.Win32.Agent. (eSafe)
Spy-Agent.bv.sys (McAfee)
Troj/RKRun-Gen (Sophos)
Trojan:WinNT/Cutwail.A!sys (Microsoft)
Trojan.Kobcka.AY (BitDefender)
Trojan.NtRootKit.496 (DrWeb)
Trojan.Pandex (Symantec)
Trojan.Rootkit-256 (ClamAV)
Trojan/Agent.pn (TheHacker)
W32/Agent.PN!tr.rkit (Fortinet)
W32/Rootkit.AIO (F-Prot)
Win32:Small-EPJ (Avast)
Win32/Rootkit.Agent.EY (NOD32v2)
Описание
Функционирует как модуль пространства ядра.
Встречается вместе с трояном C:\WINDOWS\Temp\startdrv.exe
Встречен в темах
http://virusinfo.info/showthread.php?t=16270
http://virusinfo.info/showthread.php?t=18506
http://virusinfo.info/showthread.php?t=18706
Файлы на диске
C:\WINDOWS\system32\drivers\runtime2.sys
C:\WINDOWS\system32\drivers\ctl_w32.sys
Способ запуска
Драйвер: runtime2
C:\WINDOWS\system32\drivers\runtime2.sys
драйвер ctl_w32.sys среди установленных не замечен.
AndreyKa
06.03.2008, 23:49
Алиасы
Mal/EncPk-BW (Sophos)
Proxy.DRI (Prevx1)
VirTool:Win32/Obfuscator.C (Microsoft)
W32/Feebs.dr (McAfee)
W32/Feebs.LO.worm (Panda)
W32/Feebs.nj (TheHacker)
W32.Feebs@mm (Symantec)
W32/Smalltroj.CTKS (Norman)
Win-Trojan/Agent.45324 (AhnLab-V3)
Win32.HLLM.Graz (DrWeb)
Win32.Worm.Feebs.NN (BitDefender)
Win32/Mocalo.EU (NOD32v2)
Worm.Feebs.nj (CAT-QuickHeal)
Worm/Feebs.JS (AVG)
Win32/VMalum.BWGJ (eTrust-Vet)
Worm.Feebs-88 (ClamAV)
Описание
Почтовый червь из этого семейства: Worm.Win32.Feebs.h (http://www.viruslist.com/ru/viruses/encyclopedia?virusid=107701)
Встречен в темах
http://virusinfo.info/showthread.php?t=18041
http://virusinfo.info/showthread.php?t=18340
http://virusinfo.info/showthread.php?t=18832
Файлы на диске
dll И exe файл в системной папке со случайным именем начинающимся на ms, например:
c:\windows\system32\mspe.exe
c:\windows\system32\msuq32.dll
Способ запуска
1. Active Setup
Файл: c:\windows\system32\ms??.exe
CLSID случайный
2. Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\ShellSer viceObjectDelayLoad,
Файл: ms????.dll
Внешние проявления (со слов пользователей)
"слетел" установленный DrWeb, при попытке запустить установку инсталлятор закрывается.
При попытке запуска AVZ - его окно появляется и тут же исчезает.
AndreyKa
09.03.2008, 22:55
Алиасы
Cutwail.dll (McAfee)
Downloader.Agent.ADET (AVG)
TR/Dldr.Agent.kif.9 (AntiVir)
Trojan.Pandex (Symantec)
Trojan.Win32.Undef.dqm (Rising)
Trojan/Downloader.Agent.kif (TheHacker)
TrojanDownloader.Agent.kif (CAT-QuickHeal)
TrojanDropper:Win32/Cutwail.Y (Microsoft)
W32/Agent.KIF!tr.dldr (Fortinet)
Win-Trojan/OnlineGameHack.11776.R (AhnLab-V3)
Встречен в темах
http://virusinfo.info/showthread.php?t=19097
http://virusinfo.info/showthread.php?t=19121
http://virusinfo.info/showthread.php?t=19189
http://virusinfo.info/showthread.php?t=19204
http://virusinfo.info/showthread.php?t=19223
http://virusinfo.info/showthread.php?t=19253
http://virusinfo.info/showthread.php?t=19295
http://virusinfo.info/showthread.php?t=19474
http://virusinfo.info/showthread.php?t=19849
http://virusinfo.info/showthread.php?t=20020
http://virusinfo.info/showthread.php?t=20030
http://virusinfo.info/showthread.php?t=20091
Файлы на диске
C:\WINDOWS\system32\WLCtrl32.dll
11776 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32, DLLName
WLCtrl32.dll
Отличия Trojan-Downloader.Win32.Agent.ldb
Алиасы
Downloader.Agent.ADJW (AVG)
TR/Dldr.Agent.ldb.12 (AntiVir)
Trojan.DL.Win32.Paiman.a (Rising)
Trojan.Dldr.Agent.ldb.12 (Webwasher-Gateway)
Trojan.DownLoader.50037 (DrWeb)
Trojan.DR.Pandex.Gen.4 (VirusBuster)
Trojan/Downloader.Agent.ldb (TheHacker)
TrojanDownloader.Agent.ldb (CAT-QuickHeal)
TrojanDropper:Win32/Cutwail.Y (Microsoft)
W32/Agent.dam (Norman)
W32/Agent.LDB!tr.dldr (Fortinet)
Win32/Wigon.BA (NOD32v2)
http://www.virustotal.com/ru/analisis/8caac1bed7492331da3d2ba667afdea1
Встречен в темах
http://virusinfo.info/showthread.php?t=19006
http://virusinfo.info/showthread.php?t=19726
http://virusinfo.info/showthread.php?t=19776
http://virusinfo.info/showthread.php?t=19786
http://virusinfo.info/showthread.php?t=19817
http://virusinfo.info/showthread.php?t=19858
http://virusinfo.info/showthread.php?t=19910
AndreyKa
10.03.2008, 18:29
Алиасы
a variant of Win32/Spy.Agent.NFB (NOD32v2)
Mal/Proxy-B (Sophos)
PSW.Generic5.ALAY (AVG)
Spammer:Win32/Newacc.A (Microsoft)
TR/Agent.39936.31 (AntiVir)
Trojan-Spy.Win32.Agent.bll (Kaspersky)
Trojan.Agent.39 (CAT-QuickHeal)
Trojan.Hotreg (DrWeb)
Trojan.Win32.Undef.dpc (Rising)
Trojan/Spy.Agent.bll (TheHacker)
W32/Agent.EKVA (Norman)
Win32/VMalum.BXRS (eTrust-Vet)
Описание
Пытается войти на сайт http://login.live.com/
Обращается к сайту http://www.google.com/
Встречен в темах
http://virusinfo.info/showthread.php?t=19097
http://virusinfo.info/showthread.php?t=19189
http://virusinfo.info/showthread.php?t=19295
http://virusinfo.info/showthread.php?t=19474
Файлы на диске
Файл со случайным именем bn?.tmp в папке c:\windows\temp
Например, c:\windows\temp\bna.tmp
39936 байт
AndreyKa
10.03.2008, 21:02
Алиасы
PSW.OnlineGames.AFDW (AVG)
PWS-LegMir.gen.k (McAfee)
Trojan.MulDrop.6474 (DrWeb)
Trojan.PSW.Win32.GameOLSys.gp (Rising)
Trojan.PWS.OnlineGames.QZU (BitDefender)
Trojan/PSW.OnLineGames.ryg (TheHacker)
VirTool:Win32/Obfuscator.T (Microsoft)
W32.Gammima.AG (Symantec)
W32/Lineage.HPX.worm (Panda)
W32/OnLineGames.RYG!tr.pws (Fortinet)
W32/Smalltroj.CXLD (Norman)
Win32/Frethog.ALU (eTrust-Vet)
Win32/PSW.OnLineGames.NMT (NOD32v2)
amvo0.dll
PSW.OnlineGames.AFDX (AVG)
PWS-LegMir.gen.k.dll (McAfee)
Trj/Lineage.HQA (Panda)
Trojan.PSW.Win32.GameOLSys.gp (Rising)
Trojan.PWS.OnlineGames.QZU (BitDefender)
Trojan.PWS.Wsgame.3434 (DrWeb)
TrojanPSW.OnLineGames.ryg (CAT-QuickHeal)
W32/OnLineGames.ALCY (Norman)
W32/PWS!be7d (F-Prot)
Описание
Червь распространяющийся копированием самого себя на сменные носители. Похищает пароли к различным интернет-играм.
Встречен в темах
http://virusinfo.info/showthread.php?t=18758
http://virusinfo.info/showthread.php?t=18853
http://virusinfo.info/showthread.php?t=19048
http://virusinfo.info/showthread.php?t=19092
http://virusinfo.info/showthread.php?t=19149
http://virusinfo.info/showthread.php?t=19350
Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo1.dll
autorun.inf и u2.cmd - на всех дисках в корневой папке
Способ запуска
1. Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
Отличия Trojan-PSW.Win32.OnLineGames.tya
Алиасы
Trj/Lineage.HUC (Panda)
Trojan.PWS.OnlineGames.SQS (BitDefender)
TrojanPSW.OnLineGames.tya (CAT-QuickHeal)
Win32/PSW.OnLineGames.NMP (NOD32v2)
http://www.virustotal.com/ru/analisis/d44cba69aa5ddaf41c53e81c52d22d2a
Встречен в темах
http://virusinfo.info/showthread.php?t=19579
http://virusinfo.info/showthread.php?t=19608
http://virusinfo.info/showthread.php?t=19648
http://virusinfo.info/showthread.php?t=19715
http://virusinfo.info/showthread.php?t=19799
Файлы на диске
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
72192 байт
Отличия Trojan-PSW.Win32.OnLineGames.rin
Алиасы
Infostealer.Gampass (Symantec)
Trj/Lineage.HNG (Panda)
Trojan.PSW.Win32.GameOLSys.en (Rising)
Trojan.PWS.Wsgame.2387 (DrWeb)
TrojanPSW.OnLineGames.rin (CAT-QuickHeal)
VB.BHZ (Prevx1)
W32/NSAnti.GLV (Norman)
W32/Onlinegames.AZG (F-Prot)
W32/OnLineGamesEncPK.fam!tr.pws (Fortinet)
Win32: Onlinegames-CAZ (Avast)
Win32/PSW.OnLineGames.NLK (NOD32v2)
Worm:Win32/Taterf.D (Microsoft)
http://www.virustotal.com/ru/analisis/22c8b552ffe5fa199c12560ea3912c1f
Встречен в темах
http://virusinfo.info/showthread.php?t=15961
http://virusinfo.info/showthread.php?t=18270
http://virusinfo.info/showthread.php?t=18810
http://virusinfo.info/showthread.php?t=19141
http://virusinfo.info/showthread.php?t=19962
Файлы на диске
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
54784 байт
AndreyKa
12.03.2008, 22:11
Алиасы
Agent.OSL (AVG)
TR/Agent.fiw (AntiVir)
Trj/Spammer.AGG (Panda)
Trojan.Agent.AGZD (BitDefender)
Trojan.Agent.fiw (CAT-QuickHeal)
W32/Agent.FIW!tr (Fortinet)
W32/Trojan2.VJU (F-Prot)
Описание
Модуль пространства ядра.
Имеет возможности отправки сообщений электронной почты.
Встречен в темах
http://virusinfo.info/showthread.php?t=18863
http://virusinfo.info/showthread.php?t=18986
http://virusinfo.info/showthread.php?t=19407
http://virusinfo.info/showthread.php?t=19690
http://virusinfo.info/showthread.php?t=20168
Файлы на диске
C:\WINDOWS\system32\powermgmt.sys
46592 байт
Способ запуска
Драйвер: AdvPowerMgmt
Описание: Advanced Power Management
Файл: C:\WINDOWS\system32\powermgmt.sys
AndreyKa
12.03.2008, 23:03
Алиасы
Downloader.Agent.ADGB (AVG)
TR/Dldr.Agent.kvg.5 (AntiVir)
Trojan.Dldr.Agent.kvg.5 (Webwasher-Gateway)
Trojan.DownLoader.50037 (DrWeb)
Trojan.DR.Pandex.Gen.4 (VirusBuster)
Trojan.Pandex.AH (BitDefender)
Trojan.Win32.Undef.dvc (Rising)
TrojanDownloader.Agent.kvg (CAT-QuickHeal)
TrojanDropper:Win32/Cutwail.Y (Microsoft)
W32/Agent.KVG!tr.dldr (Fortinet)
Win-Trojan/Downloader.11776.FQ (AhnLab-V3)
Встречен в темах
http://virusinfo.info/showthread.php?t=19393
http://virusinfo.info/showthread.php?t=19405
http://virusinfo.info/showthread.php?t=19408
http://virusinfo.info/showthread.php?t=19438
http://virusinfo.info/showthread.php?t=19488
http://virusinfo.info/showthread.php?t=19492
http://virusinfo.info/showthread.php?t=19578
http://virusinfo.info/showthread.php?t=19584
http://virusinfo.info/showthread.php?t=19602
Файлы на диске
C:\WINDOWS\system32\WLCtrl32.dll
11776 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32, DLLName
WLCtrl32.dll
Внешние проявления (со слов пользователей)
Большой интернет-трафик.
Отличия Trojan-Downloader.Win32.Agent.luo
Алиасы
Downloader.Agent.ADQQ (AVG)
TR/Dldr.Agent.luo.8 (AntiVir)
Trojan.Dldr.Agent.luo.8 (Webwasher-Gateway)
Trojan.DR.Pandex.Gen.4 (VirusBuster)
Trojan.Dropper.Cutwail.B (BitDefender)
TrojanDropper:Win32/Cutwail.Y (Microsoft)
http://www.virustotal.com/ru/analisis/7e6267477ec43fc82c0f67cac71e8fe3
Встречен в темах
http://virusinfo.info/showthread.php?t=20200
http://virusinfo.info/showthread.php?t=20202
http://virusinfo.info/showthread.php?t=20230
http://virusinfo.info/showthread.php?t=20246
http://virusinfo.info/showthread.php?t=20247
http://virusinfo.info/showthread.php?t=20263
http://virusinfo.info/showthread.php?t=20275
http://virusinfo.info/showthread.php?t=20276
http://virusinfo.info/showthread.php?t=20343
http://virusinfo.info/showthread.php?t=20457
AndreyKa
13.03.2008, 00:42
Алиасы
SHeur.AVLX (AVG)
TR/Dldr.Small.ipy.1 (AntiVir)
Trj/Downloader.SVU (Panda)
Troj/Agent-GNA (Sophos)
Trojan.Dldr.Small.ipy.1 (Webwasher-Gateway)
Trojan.DownLoader.49367 (DrWeb)
Trojan.Downloader.Small.AAKR (BitDefender)
Trojan.Win32.Undef.dls (Rising)
Trojan.Zlob.GLG (VirusBuster)
Trojan/Downloader.Small.ipy (TheHacker)
TrojanDownloader.Small.ipy (CAT-QuickHeal)
W32/DLoader.FQPL (Norman)
Win-Trojan/Downloader.47000 (AhnLab-V3)
Win32:Small-JMK (Avast)
Win32/Ruternam.B (eTrust-Vet)
Win32/TrojanDownloader.Agent.NVX (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=18842
http://virusinfo.info/showthread.php?t=19035
http://virusinfo.info/showthread.php?t=19417
http://virusinfo.info/showthread.php?t=19557
Файлы на диске
%UserProfile%\local settings\application data\cftmon.exe
C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
c:\windows\system32\drivers\spools.exe
c:\windows\system32\ftpdll.dll - Trojan-Downloader.Win32.Small.hwc
Возможно наличие autorun.exe в корне сменного диска.
Способ запуска
1) Служба: Schedule
Описание: Планировщик заданий
C:\WINDOWS\system32\drivers\spool.exe
Группа: SchedulerGroup
2) Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, autoload
C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
AndreyKa
15.03.2008, 12:44
Алиасы
BackDoor.Mbot (DrWeb)
DNSChanger.G (AVG)
Trojan:Win32/Alureon.gen!D (Microsoft)
Trojan.DNSChanger-3010 (ClamAV)
Trojan.DNSChanger.Gen!Pac.13 (VirusBuster)
Trojan.DNSChanger.RP (BitDefender)
Trojan.Packed.7 (Symantec)
W32/DNSChanger.AFEN (Norman)
W32/DNSChanger.APN!tr (Fortinet)
W32/Trojan2.ADFA (F-Prot)
Win32.Trojan.DNSChanger.apn (CAT-QuickHeal)
Win32.TrojanDownloader.Zlob.BMQ (NOD32v2)
Описание
Внедряет свой код в другие процессы, в списке выполняемых отсутствует.
Блокирует доступ к своему файлу:
Прямое чтение C:\WINDOWS\system32\kdrpy.exe
Внесен в базы 10 января.
Встречен в темах
http://virusinfo.info/showthread.php?t=18638
http://virusinfo.info/showthread.php?t=19006
http://virusinfo.info/showthread.php?t=19417
http://virusinfo.info/showthread.php?t=19469
http://virusinfo.info/showthread.php?t=19530
http://virusinfo.info/showthread.php?t=19945
http://virusinfo.info/showthread.php?t=20037
http://virusinfo.info/showthread.php?t=20113
http://virusinfo.info/showthread.php?t=20796
Файлы на диске
В папке C:\WINDOWS\system32 exe файл со случайным именем, начинающемся с kd, например:
C:\WINDOWS\system32\kdiwc.exe
C:\WINDOWS\system32\kdzko.exe
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, System
kd???.exe
Внешние проявления (со слов пользователей)
Со страниц поисковиков и из адресной строки перенаправляет на другие сайты.
AndreyKa
15.03.2008, 14:04
Алиасы
DeepScan:Generic.Malware.SYddld!!.62250B64 (BitDefender)
Downloader.Generic6.AFSF (AVG)
TR/Dldr.Small.hyi (AntiVir)
Trojan.DL.Small.ADKD (VirusBuster)
Trojan.Dldr.Small.hyi (Webwasher-Gateway)
Trojan.Downloader-22662 (ClamAV)
Trojan.DownLoader.45364 (DrWeb)
Trojan/Downloader.Small.hyi (TheHacker)
TrojanDownloader.Small.hyi (CAT-QuickHeal)
W32/DLoader.FKTQ (Norman)
W32/Downldr2.AZOS (F-Prot)
W32/Small.HYI!tr.dldr (Fortinet)
Win-Trojan/Downloader.5632.FZ (AhnLab-V3)
Описание
Прописывает себя в автозапуск.
Вносит себя как имеющее доступ приложение в настройки Брандмауэра Windows.
Отключает режим автономной работы в Internet Explorer.
Пытается загрузить файлы с сайта sbapodremer.biz (в нестоящее время не доступен).
Добавлен в базы 27 января.
Встречен в темах
http://virusinfo.info/showthread.php?t=17033
http://virusinfo.info/showthread.php?t=17034
http://virusinfo.info/showthread.php?t=18854
http://virusinfo.info/showthread.php?t=19545
Файлы на диске
exe файл во временной папке со случайным именем, начинающемся с win, например:
c:\temp\wincpkwg.exe
c:\docume~1\admini~1\locals~1\temp\winlxrn.exe
5632 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, IpSec
%Temp%\win*.exe
%Temp% - временная папка.
* - несколько латинских букв.
AndreyKa
15.03.2008, 15:58
Алиасы
Adware.UltimateX-89 (ClamAV)
Aplicacion/UltimateDefender.cm (TheHacker)
BackDoor.Ntrootkit.X (AVG)
FakeAlert-C.dr (McAfee)
FraudTool.UltimateDefender.cm (CAT-QuickHeal)
Rootkit/Nurech.BC (Panda)
TR/Agent.34304.19 (AntiVir)
Trojan.Agent.34304.19 (Webwasher-Gateway)
Trojan.Fakealert.458 (DrWeb)
VirTool:WinNT/Xantvi.A (Microsoft)
Win32:Agent-QNI (Avast)
Win32/Eldycow!generic (eTrust-Vet)
http://www.virustotal.com/ru/analisis/463f98d8df3844ad692f97aec641caaa
Встречен в темах
http://virusinfo.info/showthread.php?t=19388
http://virusinfo.info/showthread.php?t=19389
http://virusinfo.info/showthread.php?t=19435
http://virusinfo.info/showthread.php?t=19551
http://virusinfo.info/showthread.php?t=20023
Файлы на диске
C:\WINDOWS\System32\Drivers\Beep.SYS
Способ запуска
Подменяет собой системный драйвер с таким же именем и запускается вместо него.
Внешние проявления (со слов пользователей)
Блокирует запуск avz, hijackthis и др. антивирусных программ, но это решаемо сменой имени файлов.
Зайцев Олег
15.03.2008, 16:19
Алиасы
Adware.UltimateX-89 (ClamAV)
Aplicacion/UltimateDefender.cm (TheHacker)
BackDoor.Ntrootkit.X (AVG)
FakeAlert-C.dr (McAfee)
FraudTool.UltimateDefender.cm (CAT-QuickHeal)
Rootkit/Nurech.BC (Panda)
TR/Agent.34304.19 (AntiVir)
Trojan.Agent.34304.19 (Webwasher-Gateway)
Trojan.Fakealert.458 (DrWeb)
VirTool:WinNT/Xantvi.A (Microsoft)
Win32:Agent-QNI (Avast)
Win32/Eldycow!generic (eTrust-Vet)
http://www.virustotal.com/ru/analisis/463f98d8df3844ad692f97aec641caaa
Встречен в темах
http://virusinfo.info/showthread.php?t=19388
http://virusinfo.info/showthread.php?t=19389
http://virusinfo.info/showthread.php?t=19435
http://virusinfo.info/showthread.php?t=19551
Файлы на диске
C:\WINDOWS\System32\Drivers\Beep.SYS
Способ запуска
Подменяет собой системный драйвер с таким же именем и запускается вместо него.
Внешние проявления (со слов пользователей)
Блокирует запуск avz, hijackthis и др. антивирусных программ, но это решаемо сменой имени файлов.
Я пробил данный экспонат по базе анализатора, он был отловлен и изучен 5.03.2008. Он состоит из дроппера, который в случае запуска создает на диске C:\WINDOWS\system32\dllcache\figaro.sys. Затем он копирует figaro.sys поверх существующего C:\WINDOWS\system32\drivers\beep.sys, причем повторяет эту операцию три раза подряд (видимо для надежности, в том числе создавая копию в \dllcache). После этого он создает на диске C:\WINDOWS\system32\braviax.exe, и прописывает его в автозапуск в ключе Windows\CurrentVersion\Run. Затем он запрашивает системную привилегию SeShutdownPrivilege и при помощи системной функции ExitWindowsEx завершает работу системы. Далее он создает файл с именем delself.bat для самоуничтожение, запускает его и завершает работу (предполагается, что завершение работы потребует несколько секунд и BAT файл успеет отработать и стереть дроппер).
Анализатору известно 10 разновидностей данного зловреда, размер варьируется от 58 до 65 кб, дата первого обнаружения ITW 4.03.2008. Дропнутый файл BEEP.SYS имеет размер около 35 кб, отвечает за противодействие антивирусам и антивирусным утилитам. Блокировка по именам, в коде драйвера открытым текстом содержится база с именами файлов (в частности, он блокирует AVP, AVZ, GMER, GureIT, AVG ...).
AndreyKa
15.03.2008, 18:13
Алиасы
BackDoor-CVT (McAfee)
Dialer-2137 (ClamAV)
Dialer.RME (AVG)
Troj/Nebule-Gen (Sophos)
Trojan:Win32/Adialer.OP (Microsoft)
Trojan.Dialer.yz (Ewido)
Trojan.Mezzia.91 (DrWeb)
Trojan.Mezzia.Gen (BitDefender)
Trojan.Nebuler (Symantec)
Trojan.Win32.Dialer.yz (VBA32)
Trojan/Dialer.yz (TheHacker)
W32/Nebule.YZ!tr (Fortinet)
W32/Smalldoor.dam (Norman)
W32/Trojan2.ABSU (F-Prot)
http://www.virustotal.com/ru/analisis/a8734056acd2d6edf06d8ba4bcf7c7fb
Встречен в темах
http://virusinfo.info/showthread.php?t=17317
http://virusinfo.info/showthread.php?t=18295
http://virusinfo.info/showthread.php?t=18962
http://virusinfo.info/showthread.php?t=19551
http://virusinfo.info/showthread.php?t=20569
http://virusinfo.info/showthread.php?t=20881
http://virusinfo.info/showthread.php?t=21581
Файлы на диске
dll файл в папке \WINDOWS\SYSTEM32 со случайным именем, начинающимся с win и оканчивающимся на "32", например:
\WINDOWS\SYSTEM32\winpdc32.dll
\WINDOWS\system32\winpez32.dll
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\_имя_файла_, DLLName
AndreyKa
16.03.2008, 12:52
Алиасы
Backdoor.Small.CIG (BitDefender)
Backdoor.Small.cyb (CAT-QuickHeal)
Proxy.YRL (AVG)
Trj/Eldycow.B (Panda)
Troj/FakeVir-AU (Sophos)
Trojan.Perfcoo (Symantec)
Trojan.Proxy.1739 (DrWeb)
Trojan.Win32.Undef.dng (Rising)
TrojanDownloader:Win32/Eldycow.gen!A (Microsoft)
W32/PpcFake.A!tr (Fortinet)
W32/Smalltroj.CXSS (Norman)
Win32.TrojanProxy.Agent.NDN (VBA32)
Win32/Eldycow.AA (eTrust-Vet)
Win32/TrojanProxy.Agent.NDN (NOD32v2)
http://www.virustotal.com/ru/analisis/ee848d975795023b3bd6b21c7269f4fa
Встречен в темах
http://virusinfo.info/showthread.php?t=19388
http://virusinfo.info/showthread.php?t=19389
http://virusinfo.info/showthread.php?t=19551
http://virusinfo.info/showthread.php?t=19727
http://virusinfo.info/showthread.php?t=19940
http://virusinfo.info/showthread.php?t=20023
Файлы на диске
C:\WINDOWS\system32\cru629.dat
6144 байт
Устанавливается вместе с такими файлами как
C:\WINDOWS\system32\dllcache\beep.sys
C:\WINDOWS\system32\braviax.exe
C:\WINDOWS\system32\users32.dat
Способ запуска
C:\WINDOWS\system32\cru629.dat
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
AndreyKa
16.03.2008, 13:35
Алиасы
Aplicacion/Reanimator.a (TheHacker)
Application/WinReanimator (Panda)
Downloader.Agent.ACAC (AVG)
Downloader.MisleadApp (Symantec)
FraudTool.Reanimator.a (CAT-QuickHeal)
PHISH/FraudTool.Reanimator.A (AntiVir)
SystemDefender:Spyware-a (Prevx1)
Trojan.Fakealert.452 (DrWeb)
W32/DLoader.FRGT (Norman)
W32/Reanimator.A (Fortinet)
Win-AppCare/Reanimator.308712 (AhnLab-V3)
Win32/Adware.WinReanimator (NOD32v2)
http://www.virustotal.com/ru/analisis/a7e9bc89a801713df2eda388f065d50f
Встречен в темах
http://virusinfo.info/showthread.php?t=19388
http://virusinfo.info/showthread.php?t=19389
http://virusinfo.info/showthread.php?t=19727
http://virusinfo.info/showthread.php?t=19940
http://virusinfo.info/showthread.php?t=20975
Файлы на диске
C:\Program Files\WinReanimator\WinReanimator.exe
C:\Program Files\WinReanimator\WinReanimator.dll
и др.
Способ запуска
Инсталятор. Устанавливается с сайта :http:www.winreanimator.com путем обмана посетителей, под видом программы, защищающей компьютер от вредоносного ПО.
Регулярно обновляется.
AndreyKa
16.03.2008, 19:18
Алиасы
Backdoor:Win32/Small.BA (Microsoft)
BackDoor.Generic9.SWO (AVG)
BackDoor.Kiddy (DrWeb)
Backdoor.Small.clw (Ewido)
Backdoor.Small.cup (CAT-QuickHeal)
BDS/Small.cty (AntiVir)
Trojan.Backdoor.Small.cty (Webwasher-Gateway)
Trojan.Small-5100 (ClamAV)
W32/DLoader.FNIJ (Norman)
Win-Trojan/Backdoor.13312.D (AhnLab-V3)
Win32:Small-CHC (Avast)
http://www.virustotal.com/ru/analisis/027d05566dd44689fcc27716073b08ce
Встречен в темах
http://virusinfo.info/showthread.php?t=18034
http://virusinfo.info/showthread.php?t=18074
http://virusinfo.info/showthread.php?t=19786
Файлы на диске
C:\WINDOWS\system32\wininet.exe
C:\WINDOWS\system32\svc32_3.exe
13824 байт
Создает файл C:\WINDOWS\system32\svshost.dll - Backdoor.Win32.Small.cvg
Зайцев Олег
16.03.2008, 21:49
Алиасы
Aplicacion/Reanimator.a (TheHacker)
Application/WinReanimator (Panda)
Downloader.Agent.ACAC (AVG)
Downloader.MisleadApp (Symantec)
FraudTool.Reanimator.a (CAT-QuickHeal)
PHISH/FraudTool.Reanimator.A (AntiVir)
SystemDefender:Spyware-a (Prevx1)
Trojan.Fakealert.452 (DrWeb)
W32/DLoader.FRGT (Norman)
W32/Reanimator.A (Fortinet)
Win-AppCare/Reanimator.308712 (AhnLab-V3)
Win32/Adware.WinReanimator (NOD32v2)
http://www.virustotal.com/ru/analisis/a7e9bc89a801713df2eda388f065d50f
Встречен в темах
http://virusinfo.info/showthread.php?t=19388
http://virusinfo.info/showthread.php?t=19389
http://virusinfo.info/showthread.php?t=19727
Файлы на диске
C:\Program Files\WinReanimator\WinReanimator.exe
C:\Program Files\WinReanimator\WinReanimator.dll
и др.
Способ запуска
Инсталятор. Устанавливается с сайта :http:www.winreanimator.com путем обмана посетителей под видом программы защищающей компьютер от вредоносного ПО.
Регулярно обновляется.
Данный ITW экспонат был изучен анализатором 22.02.2008, небольшое дополнение по его работе:
1. В процессе запуска зловред может выдать окно, якобы сообщение об ошибке (это делается для "отвода глаз" пользователя). Другие варианты выводят окно с прогресс-индикатором, показывающим процесс загрузки и установки
2. Обращается к сайту :http:www.winreanimator.com и загружает с него несколько ZIP архивов
3. Создает папку C:\Program Files\WinReanimator, дропает в нее библиотеку unzip32.dll, загружает ее и применяет для распаковки загруженных архивов. Далее в данной папке создаются файлы WinReanimator.exe WinReanimator.dll pthreadVC2.dll un.ico install.exe htmlayout.dll, папки Microsoft.VC80.CRT (с библиотеками MS msvcm80.dll msvcp80.dll msvcr80.dll) и папка DATA, в которой находится файл, судя по сигнатурам похожий на урезнанную базу от CLAV. install.exe - это копия загрузчика зловреда
4. WinReanimator.exe прописывается в автозапуск
Сам загрузчик написан на Delphi. Размер - 308 кб, на текущий момент известно 8 разновидностей. Созданный им да диске WinReanimator после установки запускается, "сканирует" систему. На эталонной системе Windows XP SP2 он "находит" 28 шпионских объектов, причем показывает в логе имена заведомо несуществующих в системе объектов. Для "лечения" необходимо купить программу ... За счет автозапуска процесс "сканирования" повторяется при каждой загрузке. При закрытии WinReanimator сворачивается в трей. У зловреда как правило есть действующий деинсталлятор
AndreyKa
22.03.2008, 13:15
Алиасы
I-Worm/Nuwar.N (AVG)
Storm.Worm (Sunbelt)
Trj/Alanchum.XH (Panda)
Trojan:Win32/Tibs.FS (Microsoft)
Trojan.DownLoader.19256 (DrWeb)
Trojan.Peed-154 (ClamAV)
TROJAN.PEED.AK (Prevx1)
Trojan.Peed.JAL (BitDefender)
Trojan.Tibs.Gen!Pac.G (VirusBuster)
Trojan.Win32.Zhelatin (VBA32)
Trojan/Downloader.Tibs.vz (TheHacker)
W32/Tibs.BNJZ (Norman)
W32/Tibs.L.gen!Eldorado (F-Prot)
Win32.Trojan-Downloader.Tibs.qt.4 (CAT-QuickHeal)
Win32/SillyDl.DZN (eTrust-Vet)
WORM/Zhelatin.Gen (AntiVir)
http://www.virustotal.com/ru/analisis/8bf917fe13b0472c98853fa49e93c067
Встречен в темах
http://virusinfo.info/showthread.php?t=19250
http://virusinfo.info/showthread.php?t=19709
http://virusinfo.info/showthread.php?t=19977
Файлы на диске
C:\WINDOWS\system32\wind32.exe
или
C:\WINDOWS\system32\win32.exe
16848 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, System
Примечание
Детектируется эвристиком AVZ: Подозрение на Trojan-Downloader.Win32.Tibs.wc
Обращается к сайту bestnums.net
AndreyKa
22.03.2008, 21:19
Алиасы
Downloader.Agent.ADKO (AVG)
Spammer:Win32/Newacc.A (Microsoft)
TR/Dldr.Agent.leu.1 (AntiVir)
Trojan.Dldr.Agent.leu.1 (Webwasher-Gateway)
Trojan.DownLoader.50217 (DrWeb)
TrojanDownloader.Agent.leu (CAT-QuickHeal)
W32/Agent.EVGM (Norman)
W32/Agent.LEU!tr.dldr (Fortinet)
Win32/Spy.Agent.NFN (NOD32v2)
http://www.virustotal.com/ru/analisis/56688a275b4e11a467244ea3de753f14
Встречен в темах
http://virusinfo.info/showthread.php?t=19777
http://virusinfo.info/showthread.php?t=19849
http://virusinfo.info/showthread.php?t=19996
http://virusinfo.info/showthread.php?t=20020
http://virusinfo.info/showthread.php?t=20030
http://virusinfo.info/showthread.php?t=20091
Файлы на диске
Файлы с расширением tmp и именем начинающимся с bn в папке c:\windows\temp, например:
c:\windows\temp\bn3.tmp
c:\windows\temp\bnf.tmp
46080 байт
Способ запуска
Загружается из Интернета и запускается другой вредоносной программой (предположительно Trojan-Downloader.Win32.Agent.kif).
Внешние проявления (со слов пользователей)
Запускаются лишние процессы svchost.exe и Internet Explorer.
Отличия Trojan-Downloader.Win32.Agent.mkb
Дополнительные алиасы
Downloader.Agent.AEWS (AVG)
TR/Dldr.Agent.mkb.5 (AntiVir)
Trojan.Dldr.Agent.mkb.5 (Webwasher-Gateway)
Trojan.DownLoader.56617 (DrWeb)
W32/Agent.FDVK (Norman)
Win-Trojan/Agent.46592.CZ (AhnLab-V3)
Win32/SillyDl.EDE (eTrust-Vet)
http://www.virustotal.com/ru/analisis/e96507cb4a823d799ce042084c3665f1
Встречен в темах
http://virusinfo.info/showthread.php?t=21013
http://virusinfo.info/showthread.php?t=21056
http://virusinfo.info/showthread.php?t=21113
http://virusinfo.info/showthread.php?t=21129
http://virusinfo.info/showthread.php?t=21140
http://virusinfo.info/showthread.php?t=21208
http://virusinfo.info/showthread.php?t=21648
http://virusinfo.info/showthread.php?t=21818
http://virusinfo.info/showthread.php?t=21829
Файлы на диске
46592 байт
Способ запуска
Загружается из Интернета и запускается другой вредоносной программой (одной из семейства Trojan-Downloader.Win32.Mutant).
AndreyKa
23.03.2008, 11:22
Алиасы
Agent.2.BT (AVG)
Rootkit.Agent.aaq (Ewido)
Rootkit.Srizbi.Gen (VirusBuster)
Rootkit/Agent.FGN (Panda)
Srizbi.sys (McAfee)
Troj/RKAgen-Fam (Sophos)
Trojan:Win32/Srizbi.gen (Microsoft)
Trojan.Sentinel (DrWeb)
Trojan.Srizbi.a (CAT-QuickHeal)
Trojan.Srizbi.AX (BitDefender)
Trojan.Win32.Undef.czb (Rising)
Trojan/Agent.abe (TheHacker)
W32/Rootkit.AVX (Norman)
W32/Trojan2.UOG (F-Prot)
Win-Trojan/Rootkit.167424 (AhnLab-V3)
Win32:Srizbi (Avast)
http://www.virustotal.com/ru/analisis/c61f5ffed458cfdc479ebff54f43941d#
Описание
Рассылает спам, использует методы руткита для сокрытия своего присутствия в системе. Запускается в безопасном режиме загрузки Windows.
Детектируется эвристиком AVZ: Подозрение на Trojan.Win32.Srizbi.j
Функционирует как модуль пространства ядра. В списке драйверов AVZ отсутствует.
Встречен в темах
http://virusinfo.info/showthread.php?t=18620
http://virusinfo.info/showthread.php?t=19409
http://virusinfo.info/showthread.php?t=19821
http://virusinfo.info/showthread.php?t=20185
http://virusinfo.info/showthread.php?t=20680
http://virusinfo.info/showthread.php?t=20690
Файлы на диске
Драйвер в папке C:\WINDOWS\system32\Drivers со случайным именем с двумя цифрами на конце, например:
C:\WINDOWS\system32\Drivers\Urbh37.sys
C:\WINDOWS\system32\drivers\grande48.sys
167936 байт
Способ запуска
Драйвер.
Отличия Trojan.Win32.Srizbi.j
Дополнительные алиасы
Rootkit/Agent.IGL (Panda)
Trojan.Rootkit-654 (ClamAV)
Trojan.Srizbi.j (Ewido)
W32/RKAgen.J!tr (Fortinet)
Win32.Srizbi.j (eSafe)
Win32/Rootkit.Agent.HU (NOD32v2)
http://www.virustotal.com/ru/analisis/3d6375a2b21e1abe98b335385840a0c5
Встречен в темах
http://virusinfo.info/showthread.php?t=19858
http://virusinfo.info/showthread.php?t=20185
http://virusinfo.info/showthread.php?t=20222
AndreyKa
29.03.2008, 14:12
Алиасы
RKIT/Podnuha.AK.1 (AntiVir)
Rootkit.Podnuha.AK.1 (Webwasher-Gateway)
Trojan:Win32/Boaxxe.B (Microsoft)
Trojan.DownLoader.54066 (DrWeb)
Trojan/Podnuha.ak (TheHacker)
W32/Podnuha.AK!tr.rkit (Fortinet)
W32/Rootkit.EKT (Norman)
http://www.virustotal.com/ru/analisis/6238c0f4156b753931f855f44fbca11b
Описание
Функцонирует как модуль Проводника.
Удаляет из автозагрузки SpybotSD TeaTimer.
Может детектироватся AVZ как: Подозрение на Rootkit.Win32.Podnuha.al
Встречен в темах
http://virusinfo.info/showthread.php?t=19430
http://virusinfo.info/showthread.php?t=20048
http://virusinfo.info/showthread.php?t=20373
Файлы на диске
dll файл в папке C:\WINDOWS\system32 со случайным именем, например:
c:\windows\system32\adsnd.dll
C:\WINDOWS\system32\pstorsv.dll
Способ запуска
Модуль расширения Internet Explorer, BHO
CLSID случайный.
Отличия Rootkit.Win32.Podnuha.ay
Дополнительные Алиасы
BackDoor.Generic9.ADUG (AVG)
RKIT/Podnuha.AY.2 (AntiVir)
Rootkit.Podnuha.AY.2 (Webwasher-Gateway)
Trojan.DownLoader.54960 (DrWeb)
Trojan/Podnuha.ay (TheHacker)
W32/Podnuha.AY!tr.rkit (Fortinet)
W32/Rootkit.EQN (Norman)
Win-Trojan/Podnuha.98048.D (AhnLab-V3)
http://www.virustotal.com/ru/analisis/eb9d7c0abf22f0c1e9a339e3f647f113
Встречен в темах
http://virusinfo.info/showthread.php?t=19996
http://virusinfo.info/showthread.php?t=20247
http://virusinfo.info/showthread.php?t=20412
http://virusinfo.info/showthread.php?t=21622
AndreyKa
29.03.2008, 16:24
Алиасы
Adware.BitAcc (DrWeb)
Generic10.UZ (AVG)
Trojan.Generic.133331 (BitDefender)
TrojanClicker:Win32/RuPass (Microsoft)
W32/Trojan2.AFYX (F-Prot)
http://www.virustotal.com/ru/analisis/7d08f534305de50032fa5fc851ce29ad
Описание
Распространяется сайтом letitbit.net под видом "ускорителя":
Bit Accelerator
позволяет увеличить скорость до 10 раз. Установите нашу программу и получите файл
Широкое распространение данного трояна обеспечивает схема подкупа распространителей ссылок:
Мы платим вам деньги за уникальные загрузки ваших файлов.
Цена за 1000 уникальных доунлоадов, варьируется, от 5$ до 15$ - в зависимости от качества трафика (посетителей)
Встречен в темах
http://virusinfo.info/showthread.php?t=19917
http://virusinfo.info/showthread.php?t=20246
http://virusinfo.info/showthread.php?t=20270
http://virusinfo.info/showthread.php?t=20406
http://virusinfo.info/showthread.php?t=20563
http://virusinfo.info/showthread.php?t=22924
Файлы на диске
c:\program files\connectionservices\connectionservices.dll
454144 байт
Способ запуска
Модули расширения Internet Explorer, BHO
CLSID {6D7B211A-88EA-490c-BAB9-3600D8D7C503}
Внешние проявления (со слов пользователей)
Переадресация браузера на ненужные сайты.
Отличия Trojan.Win32.ConnectionServices.w
Алиасы
Fakesvc.D (AVG)
TR/ConnectionServices.W (AntiVir)
Trojan.BhoSpy.2 (DrWeb)
Trojan.Clicker.Win32.ConnectionSrv.a (Rising)
Trojan.ConnectionServices.w (CAT-QuickHeal)
Trojan.Generic.241832 (BitDefender)
Trojan.Spy-32751 (ClamAV)
TrojanClicker:Win32/RuPass.B (Microsoft)
W32/BitAccelerator.HF (Norman)
W32/ConnectionServices.W!tr (Fortinet)
http://www.virustotal.com/ru/analisis/5a34b727b7559197e35d40ee7d68631e
Встречен в темах
http://virusinfo.info/showthread.php?t=21600
http://virusinfo.info/showthread.php?t=22786
http://virusinfo.info/showthread.php?t=22924
http://virusinfo.info/showthread.php?t=23040
http://virusinfo.info/showthread.php?t=23067
http://virusinfo.info/showthread.php?t=23165
http://virusinfo.info/showthread.php?t=23532
http://virusinfo.info/showthread.php?t=23539
http://virusinfo.info/showthread.php?t=23729
Файл на диске
462336 байт
AndreyKa
30.03.2008, 22:56
Алиасы
Agent.QZP (AVG)
TR/Agent.iae (AntiVir)
Trojan.Agent.hhc (CAT-QuickHeal)
Trojan.DL.BServ.Gen (VirusBuster)
Trojan.Inject.GF (BitDefender)
Trojan.Okuks (DrWeb)
W32/Agent.EWQN (Norman)
Win-Trojan/Agent.24576.KW (AhnLab-V3)
http://www.virustotal.com/ru/analisis/b3bd17f7bc171362244a3a6feccec295
Встречен в темах
http://virusinfo.info/showthread.php?t=19996
http://virusinfo.info/showthread.php?t=20544
http://virusinfo.info/showthread.php?t=20547
http://virusinfo.info/showthread.php?t=20569
http://virusinfo.info/showthread.php?t=20632
http://virusinfo.info/showthread.php?t=20907
Файлы на диске
Файл со случайным именем (base*32.dll) в папке C:\WINDOWS\system32, например:
C:\WINDOWS\system32\basesecn32.dll
24576 байт
Способ запуска
Прописывает свой автозапуск в реестре оригинальным способом, в ключе Windows раздела [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems].
Так что при удалениии файла компьютер не может загрузиться в любом режиме.
Примечание
Антивирус DrWeb CureIt! может либо "вылечить" троянскую библиотеку, чтобы она загружалась, но была безвредной, либо удалить, исправив при этом реестр.
В случае, если файл уже был удален и загрузка не возможна, загрузитесь с загрузочного диска типа Bart CD и скопируйте имеющийся в папке С:\WINDOWS\system32 файл basesrv.dll в ту же папку под именем удаленного файла.
Отличия Trojan.Win32.Agent.fde
Дополнительные алиасы
Agent.OHU (AVG)
TR/Agent.fde.1 (AntiVir)
Trj/Agent.HYT (Panda)
Trojan:Win32/Agent.ADH (Microsoft)
Trojan.Agent.fbo (CAT-QuickHeal)
Trojan.Agent.fde.1 (Webwasher-Gateway)
Trojan.DoS.Win32.Opdos (Prevx1)
W32/Agent.EGPL (Norman)
Win-Trojan/Agent.24576.KO (AhnLab-V3)
Win32/BHO.NCK (NOD32v2)
http://www.virustotal.com/ru/analisis/01253affb09b0398a67ff766f6541c02
Встречен в темах
http://virusinfo.info/showthread.php?t=19313
http://virusinfo.info/showthread.php?t=19346
http://virusinfo.info/showthread.php?t=20772
Отличия Trojan.Win32.Agent.fxk
Дополнительные алиасы
Agent.PRJ (AVG)
W32/Agent.EXRV (Norman)
Win-Trojan/Agent.24576.KH (AhnLab-V3)
http://www.virustotal.com/ru/analisis/b3bd17f7bc171362244a3a6feccec295
Встречен в темах
http://virusinfo.info/showthread.php?t=18609
http://virusinfo.info/showthread.php?t=19006
http://virusinfo.info/showthread.php?t=19121
http://virusinfo.info/showthread.php?t=20397
http://virusinfo.info/showthread.php?t=20714
http://virusinfo.info/showthread.php?t=20907
http://virusinfo.info/showthread.php?t=22199
AndreyKa
04.04.2008, 23:54
Алиасы
Downloader.Generic7.DOA (AVG)
TR/Dldr.Small.trp (AntiVir)
Trojan.Dldr.Small.trp (Webwasher-Gateway)
Trojan.PWS.Pace (DrWeb)
TrojanDownloader.Small.trp (CAT-QuickHeal)
W32/DLoader.GLCE (Norman)
http://www.virustotal.com/ru/analisis/1361258e0f7acada7fc3f2cfbe61fc04
Встречен в темах
http://virusinfo.info/showthread.php?t=20782
http://virusinfo.info/showthread.php?t=20884
http://virusinfo.info/showthread.php?t=20930
http://virusinfo.info/showthread.php?t=20944
http://virusinfo.info/showthread.php?t=21388
http://virusinfo.info/showthread.php?t=21555
http://virusinfo.info/showthread.php?t=21725
http://virusinfo.info/showthread.php?t=22211
Файлы на диске
%UserProfile%\cftmon.exe
C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
c:\windows\system32\drivers\spools.exe
Файлы имеют случайный размер, так как в конец файла дописывается "мусор".
Способ запуска
1) Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, autoload
%UserProfile%\cftmon.exe
2) Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, autoload
%UserProfile%\cftmon.exe
3) Нестандартный ключ Shell\Open для "exefile": "C:\WINDOWS\system32\drivers\spools.exe "%1" %*"
Отличия Worm.Win32.Socks.au
Алиасы
PSW.Agent.SPY (AVG)
Trojan.DownLoader.56630 (DrWeb)
W32/Socks.au (TheHacker)
W32/Socks.B.worm (Panda)
Win32:Socks-F (Avast)
Win32.Worm.Socks.D (BitDefender)
Win32/PSW.Agent.NHI (NOD32v2)
Win32/Ruternam!generic.2 (eTrust-Vet)
Worm:Win32/Agent.AF (Microsoft)
Worm.Socks-3 (ClamAV)
Worm.Socks.C (VirusBuster)
Worm/Socks.AU (AntiVir)
http://www.virustotal.com/ru/analisis/4dd83cd7c38df98c77ddab0fd1d767bd
Встречен в темах
http://virusinfo.info/showthread.php?t=21064
http://virusinfo.info/showthread.php?t=21096
http://virusinfo.info/showthread.php?t=21169
http://virusinfo.info/showthread.php?t=21195
http://virusinfo.info/showthread.php?t=22211
Дополнительные способы запуска
4) Служба: Schedule
Описание: Планировщик заданий
C:\WINDOWS\system32\drivers\spool.exe
Группа: SchedulerGroup
5) Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, ntuser
C:\WINDOWS\system32\drivers\spools.exe
6) Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, ntuser
C:\WINDOWS\system32\drivers\spools.exe
AndreyKa
05.04.2008, 13:35
Алиасы
Backdoor.SDBot.DFCV (BitDefender)
Generic10.FSZ (AVG)
Mal/Emogen-G (Sophos)
Trojan.DoS.Win32.Opdos (Prevx1)
Trojan.Pakes.clw (CAT-QuickHeal)
Trojan.Proxy.3057 (DrWeb)
W32/Smalltroj.DQHU (Norman)
http://www.virustotal.com/ru/analisis/779273e9c30c6029b41308e59a6b56d2
Описание
Функционирует как модуль процесса c:\windows\system32\winlogon.exe
Рассылает спам.
Встречен в темах
http://virusinfo.info/showthread.php?t=20794
http://virusinfo.info/showthread.php?t=20925
http://virusinfo.info/showthread.php?t=21027
http://virusinfo.info/showthread.php?t=21837
Файлы на диске
C:\WINDOWS\system32\sysfldr.dll
14336 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sysfldr, DLLName
Файл: sysfldr.dll
Внешние проявления (со слов пользователей)
Постоянная сетевая активность при подключении к Интернету.
AndreyKa
09.04.2008, 07:27
Алиасы
Downloader.Agent.ADPL (AVG)
TR/Dldr.Agent.lsw (AntiVir)
Trj/Downloader.TAV (Panda)
Troj/Agent-GUC (Sophos)
TROJAN.AGENT.GEN (Prevx1)
Trojan.CL.Zirit.B (VirusBuster)
Trojan.Click.18023 (DrWeb)
Trojan.Clicker.Win32.Undef.c (Rising)
Trojan.Dldr.Agent.lsw (Webwasher-Gateway)
Trojan.Downloader.JJSF (BitDefender)
Trojan.Dropper-5285 (ClamAV)
Trojan/Downloader.Agent.lsw (TheHacker)
TrojanClicker:Win32/Zirit.X (Microsoft)
TrojanDownloader.Agent.lsw (CAT-QuickHeal)
W32/Agent.LSW!tr.dldr (Fortinet)
W32/Downldr2.BGGB (F-Prot)
Win-Trojan/Agent.14378.B (AhnLab-V3)
Win32:Agent-SVM (Avast)
Win32/SillyDl.EBM (eTrust-Vet)
Win32/TrojanClicker.Agent.NCU (NOD32v2)
http://www.virustotal.com/ru/analisis/88f08aa469ec4c6af3157b91054c40b6
Встречен в темах
http://virusinfo.info/showthread.php?t=20280
http://virusinfo.info/showthread.php?t=20596
http://virusinfo.info/showthread.php?t=21169
Файлы на диске
dll файл в подпапке со случайным именем папки C:\WINDOWS\Installer. Имя файла может быть разным:
C:\WINDOWS\Installer\{d7c88581-a5ad-41f5-986d-2a963e850500}\AlrtCheck.dll
C:\WINDOWS\Installer\{8f200620-9bdd-48f4-9fb6-53abb00f8173}\UnknownSrv.dll
C:\WINDOWS\Installer\{30b210fd-2fae-4432-97f1-3668528dff51}\RunOnceAlrt.dll
14378 байт.
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad
AndreyKa
09.04.2008, 21:29
Алиасы
Dropper.Small.apl (Ewido)
Dropper.Win32.Agent.nxs (Rising)
Dropper/Downloader.70207 (AhnLab-V3)
Generic.VDU (AVG)
TR/Drop.Small.apl (AntiVir)
Trj/Dropper.UN (Panda)
Troj/Dropper-LC (Sophos)
Trojan.Drop.Small.apl (Webwasher-Gateway)
Trojan.Dropper-829 (ClamAV)
Trojan.Dropper.Small.APL (BitDefender)
Trojan.MulDrop.4181 (DrWeb)
TrojanDropper.Small.apl (CAT-QuickHeal)
W32/Dropper.BMZ (F-Prot)
W32/Perlovga (McAfee)
W32/Smalldrp.JHW (Norman)
Win32:Agent-ILR (Avast)
Win32.Small.apl (eSafe)
Win32/Perlovga.A (eTrust-Vet)
Win32/TrojanDropper.Small.APL (NOD32v2)
Worm:Win32/Perlovga.dr (Microsoft)
Worm.DR.Perlovga.B (VirusBuster)
http://www.virustotal.com/ru/analisis/f37654464b76e236922d61796d527dda
Описание
При запуске создает и запускает вредоносные файлы:
C:\WINDOWS\system32\temp2.exe - Backdoor.Win32.Small.lo
C:\WINDOWS\system32\temp1.exe - Worm.Win32.Perlovga.c
Пытается подключиться к hnmy.3322.org:8888
Встречен в темах
http://virusinfo.info/showthread.php?t=20496
http://virusinfo.info/showthread.php?t=20507
http://virusinfo.info/showthread.php?t=20508
http://virusinfo.info/showthread.php?t=22099
http://virusinfo.info/showthread.php?t=22155
http://virusinfo.info/showthread.php?t=22358
Файлы на диске
C:\WINDOWS\svchost.exe
70207 байт
Способ запуска
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Windows, Load
Файл: C:\WINDOWS\svchost.exe
AndreyKa
11.04.2008, 06:01
Алиасы
Ad-Spyware.Bho.ajq.2 (Webwasher-Gateway)
ADSPY/Bho.ajq.2 (AntiVir)
Adware Generic3.YB (AVG)
AdWare.BHO.ajq (CAT-QuickHeal)
Troj/BHO-FA (Sophos)
Trojan.BHO.Delf.M (BitDefender)
Trojan.BHO.HCZ (VirusBuster)
W32/BHO.BXO (Norman)
Win32/Adware.BHO.AJQ (NOD32v2)
http://www.virustotal.com/ru/analisis/9a95b8dfe387670da7897e860454f920
Встречен в темах
http://virusinfo.info/showthread.php?t=20700
http://virusinfo.info/showthread.php?t=20796
http://virusinfo.info/showthread.php?t=20944
http://virusinfo.info/showthread.php?t=21195
http://virusinfo.info/showthread.php?t=21555
http://virusinfo.info/showthread.php?t=21824
http://virusinfo.info/showthread.php?t=21829
http://virusinfo.info/showthread.php?t=22211
Файлы на диске
c:\autoex.dll
444416 байт
Способ запуска
BHO
CLSID: {F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2}
Файл: c:\autoex.dll
AndreyKa
12.04.2008, 09:10
Алиасы
Downloader.Generic7.EBJ (AVG)
TR/Agent.11264.71 (AntiVir)
Trj/BedeTres.Q (Panda)
Trojan.Agent.11264.71 (Webwasher-Gateway)
Trojan.DownLoader.54123 (DrWeb)
Trojan.DR.Pandex.Gen.4 (VirusBuster)
Trojan.Kobcka.DK (BitDefender)
Trojan.Win32.Undef.ems (Rising)
TrojanDownloader.Mutant.ci (CAT-QuickHeal)
TrojanDropper:Win32/Cutwail.Z (Microsoft)
W32/DLoader.GMYU (Norman)
W32/Mutant.CI!tr.dldr (Fortinet)
Win32/Cutwail!generic.1 (eTrust-Vet)
http://www.virustotal.com/ru/analisis/49672d9dcf5033a08207b9906c072ccd
Встречен в темах
http://virusinfo.info/showthread.php?t=20908
http://virusinfo.info/showthread.php?t=20925
http://virusinfo.info/showthread.php?t=20933
http://virusinfo.info/showthread.php?t=20988
http://virusinfo.info/showthread.php?t=21027
http://virusinfo.info/showthread.php?t=21031
http://virusinfo.info/showthread.php?t=21126
http://virusinfo.info/showthread.php?t=21195
http://virusinfo.info/showthread.php?t=21208
Файлы на диске
C:\WINDOWS\system32\WLCtrl32.dll
10752 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32,
DLLName: WLCtrl32.dll
Отличия Trojan-Downloader.Win32.Mutant.da
Дополнительные алиасы
Dropper.Win32.Agent.zij (Rising)
TR/Dldr.Mutant.CZ (AntiVir)
Trojan.Cutwail.z (CAT-QuickHeal)
Trojan.Dldr.Mutant.CZ (Webwasher-Gateway)
Trojan.Downloader-29322 (ClamAV)
Trojan.DownLoader.54123 (DrWeb)
Trojan.Kobcka.DM (BitDefender)
http://www.virustotal.com/ru/analisis/a1a80867b8384d78ba5fbc2c046d8b8b
Встречен в темах
http://virusinfo.info/showthread.php?t=21068
http://virusinfo.info/showthread.php?t=21100
http://virusinfo.info/showthread.php?t=21129
Отличия Trojan-Downloader.Win32.Mutant.hx
Дополнительные алиасы
Dropper.Win32.Cutwail.s (Rising)
Trojan.DownLoader.56882 (DrWeb)
TrojanDownloader.Mutant.hx (CAT-QuickHeal)
Win32/Wigon.BP (NOD32v2)
http://www.virustotal.com/ru/analisis/c9ad0e13bf1aac33b859523b4353ed61
Встречен в темах
http://virusinfo.info/showthread.php?t=21013
http://virusinfo.info/showthread.php?t=21310
http://virusinfo.info/showthread.php?t=21320
http://virusinfo.info/showthread.php?t=21348
http://virusinfo.info/showthread.php?t=21356
http://virusinfo.info/showthread.php?t=21379
http://virusinfo.info/showthread.php?t=21380
http://virusinfo.info/showthread.php?t=21388
http://virusinfo.info/showthread.php?t=21555
http://virusinfo.info/showthread.php?t=21944
AndreyKa
16.04.2008, 21:15
Алиасы
BackDoor.Generic9.TDG (AVG)
Rootkit.575 (BitDefender)
Rootkit.Agent.aag (Ewido)
Rootkit/Agent.IFM (Panda)
Spammer:WinNT/Srizbi.A (Microsoft)
Trojan.Rootkit-761 (ClamAV)
Trojan.Spambot.2830 (DrWeb)
Trojan.Srizbi (Symantec)
Trojan/Agent.aag (TheHacker)
W32/Agent.AAG!tr.rkit (Fortinet)
W32/Rootkit.APT (F-Prot)
W32/Rootkit.DHI (Norman)
Win-Trojan/Agent.143872.I (AhnLab-V3)
http://www.virustotal.com/ru/analisis/639af0112b5428e8e072fe378960bbe4
Описание
Функционирует как модуль пространства ядра.
Рассылает СПАМ.
Руткит противодействует AVZ, при выполнении стандартных скриптов вызывается неустранимая ошибка (BSOD) и компьютер перезагружается. Загружается и в безопасном режиме.
Встречен в темах
http://virusinfo.info/showthread.php?t=20592
http://virusinfo.info/showthread.php?t=21064
http://virusinfo.info/showthread.php?t=21555
Файлы на диске
Драйвер в папке C:\WINDOWS\system32\Drivers со случайным именем с двумя цифрами на конце, например:
C:\WINDOWS\System32\Drivers\Qnj38.sys
C:\WINDOWS\system32\drivers\symavc32.sys
143872 байт
Способ запуска
Драйвер. В логе AVZ виден только как работающий модуль пространства ядра.
Отличия Rootkit.Win32.Agent.aih
Дополнительные алиасы
Generic10.FSN (AVG)
Rootkit.Agent.aih (CAT-QuickHeal)
Rootkit.Srizbi.Gen (VirusBuster)
Rootkit/Agent.IGL (Panda)
Spammer:WinNT/Srizbi.gen (Microsoft)
Srizbi.sys (McAfee)
Trojan.Rootkit-654 (ClamAV)
Trojan.Sentinel (DrWeb)
Trojan.Srizbi.AX (BitDefender)
Trojan.Srizbi.j (Ewido)
Trojan.Win32.Srizbi.j (VBA32)
Trojan.Win32.Undef.czb (Rising)
W32/Rootkit.AVX (Norman)
W32/Trojan2.UOG (F-Prot)
Win-Trojan/Rootkit.167424 (AhnLab-V3)
Win32.Srizbi.j (eSafe)
Win32/Agent.NRK (NOD32v2)
Win32/Fuzfle.AN (eTrust-Vet)
http://www.virustotal.com/ru/analisis/0b7b7b7c90b1fe3db803a7d875acbee4
Встречен в темах
http://virusinfo.info/showthread.php?t=21555
http://virusinfo.info/showthread.php?t=22141
http://virusinfo.info/showthread.php?t=22165
http://virusinfo.info/showthread.php?t=22211
http://virusinfo.info/showthread.php?t=22317
http://virusinfo.info/showthread.php?t=22383
http://virusinfo.info/showthread.php?t=22421
http://virusinfo.info/showthread.php?t=23005
http://virusinfo.info/showthread.php?t=23626
http://virusinfo.info/showthread.php?t=24009
http://virusinfo.info/showthread.php?t=24016
Файл на диске
167936 байт
AndreyKa
19.04.2008, 08:08
Алиасы
I-Worm.Bagle.of (CAT-QuickHeal)
Mal/Behav-191 (Sophos)
TR/Bagle.Gen.B (AntiVir)
Trojan.Bagle.Gen.B (Webwasher-Gateway)
W32/Bagle.gen (McAfee)
W32/Bagle.RP.worm (Panda)
W32/PackBag.A (Fortinet)
Win32.Bagle.SUQ@mm (BitDefender)
Win32.HLLM.Beagle (DrWeb)
Worm:Win32/Bagle.gen!C (Microsoft)
http://www.virustotal.com/ru/analisis/486f8a3942d17cc65f8bd681b5b9761a
Описание
Почтовый червь.
Останавливает службы:
- ALG "Служба шлюза уровня приложения"
- RasMan "Диспетчер подключений удаленного доступа"
- SharedAccess "Брандмауэр Windows/Общий доступ к Интернету (ICS)"
- TapiSrv "Телефония"
- wscsvc "Центр обеспечения безопасности"
Использует технологию руткита для сокрытия присутствия в операционной системе.
Препятствует запуску антивирусных программ по именам файлов.
У всех файлов одинаковая контрольная сумма CRC32: 2144DF1C, не смотря на то, что содержимое файлов разное.
Встречен в темах
http://virusinfo.info/showthread.php?t=17148
http://virusinfo.info/showthread.php?t=17312
http://virusinfo.info/showthread.php?t=20072
http://virusinfo.info/showthread.php?t=21586
http://virusinfo.info/showthread.php?t=21685
http://virusinfo.info/showthread.php?t=23473
Файлы на диске
C:\windows\system32\wintems.exe
C:\windows\system32\mdelk.exe
Встречается вместе с файлами семейства Trojan-Downloader.Win32.Bagle:
C:\windows\system32\drivers\hldrrr.exe
C:\windows\system32\drivers\srosa.sys
Способ запуска
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, german.exe
Файл: C:\WINDOWS\system32\wintems.exe
AndreyKa
23.04.2008, 00:51
Алиасы
Sus/Behav-200 (Sophos)
Trojan.Virtumod.367 (DrWeb)
Trojan.Vundo.EHW (BitDefender)
W32/Virtumonde.URK (Norman)
http://www.virustotal.com/ru/analisis/aea0b7a2cb6d782c0aaa77ecb0fcc74b
Описание
Рекламная программа, показывающая всплывающие сообщения.
Функционирует как модуль сразу нескольких процессов.
Встречается вместе с другими представителями семейства AdWare.Win32.Virtumonde.
Экземпляры файлов отличаются друг от друга приписанным в конце файла случайным набором чисел.
Встречен в темах
http://virusinfo.info/showthread.php?t=21839
http://virusinfo.info/showthread.php?t=21860
http://virusinfo.info/showthread.php?t=21879
Файлы на диске
Файл dll со случайным именем из букв в папке C:\WINDOWS\system32, например:
C:\Windows\system32\tuvrqojg.dll
88128 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run
AndreyKa
25.04.2008, 20:53
Алиасы
Generic10.OWF (AVG)
Trojan.Agent.AGKK (BitDefender)
Trojan.Okuks.27 (DrWeb)
Trojan.Pakes.csd (CAT-QuickHeal)
W32/Agent.AZ.gen!Eldorado (F-Prot)
http://www.virustotal.com/ru/analisis/40dcdf003275d59aa465d5fe0dcbbc41
Встречен в темах
http://virusinfo.info/showthread.php?t=21668
http://virusinfo.info/showthread.php?t=21896
http://virusinfo.info/showthread.php?t=21940
http://virusinfo.info/showthread.php?t=21952
http://virusinfo.info/showthread.php?t=22062
http://virusinfo.info/showthread.php?t=22107
Файлы на диске
Файл со случайным именем (base*32.dll) в папке C:\WINDOWS\system32, например:
C:\WINDOWS\system32\baseouqwr32.dll
24576 байт
Способ запуска
Прописывает свой запуск в реестре, в ключе Windows раздела [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems].
При удалениии файла компьютер не может загрузиться в любом режиме.
Примечание
В случае, если файл уже был удален и загрузка не возможна, загрузитесь с загрузочного диска типа Bart CD и скопируйте имеющийся в папке С:\WINDOWS\system32 файл basesrv.dll в ту же папку под именем удаленного файла.
Отличия Trojan.Win32.SubSys.ce
Дополнительные алиасы
Agent.STC (AVG)
TR/Inject.GF.22 (AntiVir)
Troj/Agent-GXR (Sophos)
Trojan-PWS.Papras.D (Sunbelt)
Trojan:Win32/Subsys.C (Microsoft)
Trojan.DL.BServ.Gen (VirusBuster)
Trojan.Inject.GF.22 (Webwasher-Gateway)
Trojan.PWS.Papras.D (BitDefender)
Trojan.SubSys.ce (CAT-QuickHeal)
W32/Smalltroj.ECGR (Norman)
W32/SubSys.CE!tr (Fortinet)
Win-Trojan/Subsys.24576.C (AhnLab-V3)
http://www.virustotal.com/ru/analisis/4a2a63bd00aa6745f85b644f5d21d699
Встречен в темах
http://virusinfo.info/showthread.php?t=21064
http://virusinfo.info/showthread.php?t=21082
http://virusinfo.info/showthread.php?t=21191
http://virusinfo.info/showthread.php?t=21672
http://virusinfo.info/showthread.php?t=22072
http://virusinfo.info/showthread.php?t=22173
http://virusinfo.info/showthread.php?t=22765
AndreyKa
25.04.2008, 22:27
Алиасы
Mal/Behav-066 (Sophos)
SHeur.BFFQ (AVG)
TR/Spy.ZBot.bbi (AntiVir)
Trj/Sinowal.DW (Panda)
Trojan.Proxy.3111 (DrWeb)
Trojan.Spy.ZBot.BN (BitDefender)
Trojan/Spy.Zbot.bbi (TheHacker)
TrojanSpy.Zbot.GO (VirusBuster)
W32/Zbot.KA (Norman)
Win32: Zbot-KK (Avast)
Win32/VMalum.CPYF (eTrust-Vet)
http://www.virustotal.com/ru/analisis/1b9b28f4e4fc9509c09759c85817abb1
Описание
Троян со свойствами руткита. Отключает файрволы, похищает конфиденциальную финансовую информацию (номера кредитных карт, данные идентификации онлайновых банковских служб), делает снимки экрана, скачивает дополнительные програмные модули и открывает удаленный доступ к зараженной системе для злоумышленника.
Внедряет свой исполняемый код в функционирующие системные процессы.
Связывается с веб-сайтом по адресу: 195.2.253.94
Встречен в темах
http://virusinfo.info/showthread.php?t=21783
http://virusinfo.info/showthread.php?t=21818
http://virusinfo.info/showthread.php?t=22003
http://virusinfo.info/showthread.php?t=22027
http://virusinfo.info/showthread.php?t=23677
Файлы на диске
C:\WINDOWS\system32\ntos.exe
Размер файла случайный. К его телу размером 47104 байт приписывается "мусор" случайного размера.
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
Отличия Trojan-Spy.Win32.Zbot.bcn
Алиасы
Mal/EncPk-DI (Sophos)
Pakes.AB (AVG)
TR/Spy.ZBot.bcn (AntiVir)
Trojan.Proxy.2842 (DrWeb)
Trojan.Spy.Wsnpoem.BA (BitDefender)
Trojan.Spy.ZBot.bcn (Webwasher-Gateway)
Trojan.Zbot-655 (ClamAV)
Trojan/Spy.Zbot.bcn (TheHacker)
TrojanSpy.Zbot.bcn (CAT-QuickHeal)
W32/Zbot.KU (Norman)
Win32: Zbot-LM (Avast)
http://www.virustotal.com/ru/analisis/7adcbcaf7276aba2badd0fec8c503023
Встречен в темах
http://virusinfo.info/showthread.php?t=21672
http://virusinfo.info/showthread.php?t=21931
http://virusinfo.info/showthread.php?t=21952
http://virusinfo.info/showthread.php?t=22262
http://virusinfo.info/showthread.php?t=23141
http://virusinfo.info/showthread.php?t=23696
Отличия Trojan-Spy.Win32.Zbot.bdg
Дополнительные алиасы
Infostealer.Banker.C (Symantec)
PWS:Win32/Zbot.EQ (Microsoft)
Trojan.NTos.Gen!Pac.3 (VirusBuster)
Trojan.Proxy.2003 (DrWeb)
Trojan.Spy.Wsnpoem.BF (BitDefender)
Trojan.Zbot-666 (ClamAV)
Trojan/Spy.Zbot.bdg (TheHacker)
TrojanSpy.Zbot.bdg (CAT-QuickHeal)
W32/Zbot.OI (Norman)
http://www.virustotal.com/ru/analisis/ce172b550865d124f0a653f4b22448a4
Встречен в темах
http://virusinfo.info/showthread.php?t=21811
http://virusinfo.info/showthread.php?t=22141
http://virusinfo.info/showthread.php?t=22165
http://virusinfo.info/showthread.php?t=22900
Файл на диске
Размер тела 45056 байт + мусор случайного размера
AndreyKa
01.05.2008, 11:14
Алиасы
BlockReason.0 (Webwasher-Gateway)
SHeur.BGTB (AVG)
Trojan:Win32/Delfobfus.A (Microsoft)
Trojan.DL.Win32.Agent.bxw (Rising)
Trojan.Spambot.2496 (DrWeb)
Trojan/Agent.is (TheHacker)
http://www.virustotal.com/ru/analisis/d2ba7432c0a731b49647d4771d30e8d4
Описание
Рассылает спам.
Встречен в темах
http://virusinfo.info/showthread.php?t=21668
http://virusinfo.info/showthread.php?t=21931
http://virusinfo.info/showthread.php?t=21940
http://virusinfo.info/showthread.php?t=22090
http://virusinfo.info/showthread.php?t=22308
Файлы на диске
C:\WINDOWS\temp\winlogon.exe
39424 байт
Способ запуска
Ключ реестра HKEY_USERS, HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Run,
Firewall auto setup
Отличия SpamTool.Win32.Agent.kf
Алиасы
Dropper.BB!tr (Fortinet)
Dropper.Generic.XNM (AVG)
Trojan.DL.Win32.Agent.bxw (Rising)
Trojan.Generic.263079 (BitDefender)
Trojan/Agent.kf (TheHacker)
http://www.virustotal.com/ru/analisis/99f063822c9b170917511eca4a7ef240
Встречен в темах
http://virusinfo.info/showthread.php?t=23113
http://virusinfo.info/showthread.php?t=23115
http://virusinfo.info/showthread.php?t=23125
http://virusinfo.info/showthread.php?t=23158
http://virusinfo.info/showthread.php?t=23696
http://virusinfo.info/showthread.php?t=24021
Отличия SpamTool.Win32.Agent.ki
Дополнительные алиасы
Dropper.Generic.XQM (AVG)
Trojan.Generic.270334 (BitDefender)
http://www.virustotal.com/ru/analisis/a6d0943686844fe56335c20b52435847
Встречен в темах
http://virusinfo.info/showthread.php?t=23175
http://virusinfo.info/showthread.php?t=23208
http://virusinfo.info/showthread.php?t=23241
AndreyKa
01.05.2008, 17:28
Алиасы
Dropper.Agent.HHK (AVG)
Generic9.AUST (Prevx1)
W32/Dropper.LAY (Authentium)
TR/Agent.fwi (AntiVir)
Troj/Drop-M (Sophos)
Trojan.DL.Win32.Small.tqz (Rising)
Trojan.Dropper.Zirit.B (BitDefender)
Trojan.MulDrop.13008 (DrWeb)
Trojan/Downloader.Small.ivo (TheHacker)
TrojanDownloader.Small.ivo (CAT-QuickHeal)
TrojanDropper:Win32/Agent.FYI (Microsoft)
W32/DLoader.GEAG (Norman)
W32/Dropper.LAY (F-Prot)
W32/Small.IVO!tr.dldr (Fortinet)
Win-Trojan/Downloader.10927 (AhnLab-V3)
Win32:Agent-UDD (Avast)
Win32/Pripecs.JK (eTrust-Vet)
Win32/TrojanDropper.Agent.EYA (NOD32v2)
http://www.virustotal.com/ru/analisis/dedc5266963496e7cefc9c87cb379494
Описание
Загружается вредоносной программой Trojan-Downloader.Win32.Small.iuq с сайта void.gribokk.com и запускается на выполнение.
Встречен в темах
http://virusinfo.info/showthread.php?t=20113
http://virusinfo.info/showthread.php?t=21555
http://virusinfo.info/showthread.php?t=21721
http://virusinfo.info/showthread.php?t=22211
http://virusinfo.info/showthread.php?t=22531
Файлы на диске
exe файл, может иметь различные имена и находится в разных папках, например:
C:\Program Files\tmp31968.exe
C:\Program Files\bho.exe
C:\WINX\Temp\mso13.exe
размер может быть различным, так как в конец файла дописывается "мусор".
Способ запуска
В автозапуске отсутствует.
AndreyKa
01.05.2008, 18:08
Алиасы
Backdoor.Hupigon.ADI (BitDefender)
Generic.VDT (AVG)
Trojan.Copyself (DrWeb)
Trojan.Small-4214 (ClamAV)
W32/Perlovg-D (Sophos)
W32/Perlovga.A.1 (AntiVir)
W32/Perlovga.A.worm (Panda)
W32/Perlovga.gen (TheHacker)
Win-Trojan/CopySelf.1211 (AhnLab-V3)
Win32.Perlovga.A.1 (Webwasher-Gateway)
Win32.Stration (eSafe)
Worm.Perlovga.A (VirusBuster)
Worm.Small.z (Rising)
http://www.virustotal.com/ru/analisis/7fecf9152dddd1dd9e914abdfab9675e
Описание
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=161822
Встречен в темах
http://virusinfo.info/showthread.php?t=20496
http://virusinfo.info/showthread.php?t=20508
http://virusinfo.info/showthread.php?t=22099
http://virusinfo.info/showthread.php?t=22155
Файлы на диске
Файл в папке C:\WINDOWS с однимим из имен:
svchost.exe
xcopy.exe
host.exe
copy.exe
Размер 1211 байт.
Копирует себя на сменные накопители под именем copy.exe вместе с файлом autorun.inf для своего автоматического запуска.
AndreyKa
02.05.2008, 11:53
Алиасы
BackDoor.IRC.Nite (DrWeb)
Trj/Downloader.TLU (Panda)
Trojan.Crypt.AO (BitDefender)
W32/Smalltroj.EBAV (Norman)
Win32/VMalum.CRSQ (eTrust-Vet)
http://www.virustotal.com/ru/analisis/e523928a87edb68e3bcfcf72d89d6ff4
Описание
Внедряет свой код в память функционирующего системного процесса svchost.exe. В списке выполняемых процессов отсутствует.
Встречен в темах
http://virusinfo.info/showthread.php?t=22019
http://virusinfo.info/showthread.php?t=22054
http://virusinfo.info/showthread.php?t=22294
Файлы на диске
exe файл в папке C:\WINDOWS\system32, имена могут быть разными:
C:\WINDOWS\system32\6to4svce.exe
C:\WINDOWS\system32\2052m.exe
37888 байт
Способ запуска
Служба. Названия и описания службы могут быть различными, например:
Служба | Описание
CryptSvcMDM | Cryptographic Services CryptSvcMDM
UPSProtectedStorage | Источник бесперебойного питания UPSProtectedStorage
WZCSVCupnphost | Беспроводная настройка WZCSVCupnphost
WmiApSrvLmHosts | WMI Performance Adapter WmiApSrvLmHosts
AndreyKa
03.05.2008, 23:26
Алиасы
a variant of Win32/TrojanProxy.Xorpix (NOD32v2)
Proxy-Agent.ai (McAfee)
Proxy.AASY (AVG)
Trojan-Proxy.Win32.Xorpix.Fam (Sunbelt)
Trojan.Proxy.3093 (DrWeb)
Trojan.Proxy.Xorpix.BS (BitDefender)
Trojan/Proxy.Xorpix.ds (TheHacker)
TrojanProxy:Win32/Xorpix.gen!E (Microsoft)
TrojanProxy.Xorpix.ds (CAT-QuickHeal)
Win32: Xorpix-AZ (Avast)
Win32.Looked.gen (eSafe)
http://www.virustotal.com/ru/analisis/c10873a3369d60e050899571954cc68d
Встречен в темах
http://virusinfo.info/showthread.php?t=21096
http://virusinfo.info/showthread.php?t=21195
http://virusinfo.info/showthread.php?t=21944
http://virusinfo.info/showthread.php?t=22364
Файлы на диске
C:\Documents and Settings\All Users\Документы\Settings\partnership.dll
9235 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\partnershipreg, DLLName
AndreyKa
10.05.2008, 12:10
Алиасы
Adware/VirtualNetwork (Fortinet)
Trojan.AdVirtualNetwork (DrWeb)
http://www.virustotal.com/ru/analisis/8611e88af146842b4905b985e498d0fa
Описание
Устанавливается вместе с программой Bit Accelerator c сайта letitbit.net
Встречен в темах
http://virusinfo.info/showthread.php?t=22129
http://virusinfo.info/showthread.php?t=22221
http://virusinfo.info/showthread.php?t=22296
http://virusinfo.info/showthread.php?t=22562
http://virusinfo.info/showthread.php?t=22838
http://virusinfo.info/showthread.php?t=22993
http://virusinfo.info/showthread.php?t=23029
Файлы на диске
c:\program files\virtualnetwork\virtualnetwork.dll
185856 байт
Способ запуска
BHO
Описание: VirtualNetwork Dynamic Link Library
Производитель: GemBirdCom (C) 2008
CLSID: {6C517674-DE1C-4493-977C-34A1BFAB35BA}
AndreyKa
10.05.2008, 20:14
Алиасы
Cutwail.dll (McAfee)
Downloader.Agent.AGEP (AVG)
Trj/Downloader.TOU (Panda)
Troj/Pushu-Gen (Sophos)
Trojan.DL.Wigon.Gen.6 (VirusBuster)
Trojan.Downloader-33943 (ClamAV)
Trojan.DownLoader.59496 (DrWeb)
Trojan.Downloader.Agent.ZIS (BitDefender)
Trojan.Win32.Undef.fwg (Rising)
TrojanDownloader:Win32/Cutwail.S (Microsoft)
TrojanDownloader.Agent.nsl (CAT-QuickHeal)
W32/Pushu.NSL!tr (Fortinet)
Win32:Agent-WPZ (Avast)
Win32/Dallerow.C (eTrust-Vet)
Win32/Wigon (NOD32v2)
http://www.virustotal.com/ru/analisis/3ee4d25791271ec192bf41f4e92d6bab
Описание
Защищается драйвером, работающем в режиме ядра со случайным именем из 2-4 букв и двух цифр.
Такой драйвер может детектироваться как Rootkit.Win32.Qandr.s или иначе.
Когда файл winnt32.dll удаляется драйвер восстанавливает его из файла %windir%\system32\WinData.cab
Запись в реестре также восстанавливается им.
http://www.geocities.jp/kiskzo/winnt32.dll.html (англ.)
Встречен в темах
http://virusinfo.info/showthread.php?t=22075
http://virusinfo.info/showthread.php?t=22173
http://virusinfo.info/showthread.php?t=22219
http://virusinfo.info/showthread.php?t=22489
http://virusinfo.info/showthread.php?t=22524
http://virusinfo.info/showthread.php?t=22531
http://virusinfo.info/showthread.php?t=22537
http://virusinfo.info/showthread.php?t=22669
http://virusinfo.info/showthread.php?t=23231
http://virusinfo.info/showthread.php?t=23281
http://virusinfo.info/showthread.php?t=23458
Файлы на диске
C:\WINDOWS\system32\WinNt32.dll
10240 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinNt32, DLLName
WinNt32.dll
AndreyKa
10.05.2008, 21:15
Алиасы
SHeur.BAQW (AVG)
Trojan.Spambot.3092 (DrWeb)
W32/Socks.af (TheHacker)
W32/Socks.E.worm (Panda)
Win32:Socks-AE (Avast)
Worm.Socks.af (Ewido)
http://www.virustotal.com/ru/analisis/8140e22c1a72e86ac1ddb9f107f9561a
Описание
Распространяется по локальной сети.
При запуске создает файл со случайным именем и расширением syz в системной папке. Этот файл является Rootkit.Win32.Agent.agi (Trojan.NtRootKit.1019).
Встречен в темах
http://virusinfo.info/showthread.php?t=20603
http://virusinfo.info/showthread.php?t=21684
http://virusinfo.info/showthread.php?t=21846
http://virusinfo.info/showthread.php?t=22535
http://virusinfo.info/showthread.php?t=22704
Файлы на диске
C:\WINDOWS\system32\cssrss.exe
29696 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, WMDM PMSP Service
AndreyKa
17.05.2008, 14:45
Алиасы
Adware/GoodSearchNow (Panda)
Cutwail (McAfee)
SpamBot.G (AVG)
SpamTool.Agent.jn (Not a Virus) (CAT-QuickHeal)
TR/Kobcka.DS (AntiVir)
Trojan.Kobcka.DS (BitDefender)
Trojan.NtRootKit.1070 (DrWeb)
VirTool:WinNT/Cutwail.gen!C (Microsoft)
W32/Dloader.AMT!tr (Fortinet)
W32/Pandex.AI (Norman)
Win32/Cutwail.GH (eTrust-Vet)
http://www.virustotal.com/ru/analisis/18fa1cb67798b1dcd51928d1beee7505
Описание
Функционирует как модуль пространства ядра.
Встречен в темах
http://virusinfo.info/showthread.php?t=22782
http://virusinfo.info/showthread.php?t=22832
http://virusinfo.info/showthread.php?t=22874
http://virusinfo.info/showthread.php?t=22901
http://virusinfo.info/showthread.php?t=23231
http://virusinfo.info/showthread.php?t=23496
Файлы на диске
C:\WINDOWS\System32\drivers\tcpsr.sys
6400 байт
Устанавливается вместе со следущими файлами:
%System%\drivers\{случайные 3 буквы и 2 цифры}.sys - RootKit...
%System%\WinData.cab - Trojan-Downloader.Win32.Mutant...
%System%\WinNt32.dll - Trojan-Downloader.Win32.Mutant...
Способ запуска
Драйвер: tcpsr
AndreyKa
18.05.2008, 00:23
Алиасы
BackDoor.Bulknet.188 (DrWeb)
Scagent.T (AVG)
Trojan-Dropper.Win32.Agent.rek (GData)
Trojan.Dropper.Cutwail.D (BitDefender)
Trojan.Win32.Undef.ghy (Rising)
TrojanDropper:Win32/Cutwail.AA (Microsoft)
TrojanDropper.Agent.rek (CAT-QuickHeal)
W32/Agent.BD.gen!Eldorado (F-Prot)
W32/Agent.FPPA (Norman)
W32/Agent.REK!tr (Fortinet)
Win32/Cutwail (eTrust-Vet)
Win32/Wigon.BY (NOD32v2)
http://www.virustotal.com/ru/analisis/7375324c6135ab3f044560b0175c1c8a
Описание
Распространяется через взломанные web-сайты.
Имеет свойства руткита.
Функционирует как модуль пространства ядра. Запускается и в безопасном режиме загрузки Windows.
Встречен в темах
http://virusinfo.info/showthread.php?t=22695
http://virusinfo.info/showthread.php?t=22746
http://virusinfo.info/showthread.php?t=22779
http://virusinfo.info/showthread.php?t=22832
http://virusinfo.info/showthread.php?t=23076
http://virusinfo.info/showthread.php?t=23429
http://virusinfo.info/showthread.php?t=23475
http://virusinfo.info/showthread.php?t=23843
http://virusinfo.info/showthread.php?t=23850
Файлы на диске
Драйвер в папке C:\WINDOWS\system32\Drivers со случайным именем с двумя цифрами на конце, например:
C:\WINDOWS\System32\drivers\Ubg84.sys
27136 байт
Устанавливается вместе с файлом
%System%\WinNt32.dll - Trojan-Downloader.Win32.Mutant...
Способ запуска
Драйвер. Иногда отсутствует в списке драйверов лога AVZ.
AndreyKa
18.05.2008, 23:27
Алиасы
Trojan.Packed.460, Trojan.Spambot.3251, Trojan.Spambot.3253 (DrWeb)
Trojan.Peed.PJ (BitDefender)
Win32.Email-Worm.Zhelatin.yu.4 (CAT-QuickHeal)
http://www.virustotal.com/ru/analisis/ad693500a8d1cb79d6871d2350465cfa
Встречен в темах
http://virusinfo.info/showthread.php?t=22801
http://virusinfo.info/showthread.php?t=22814
http://virusinfo.info/showthread.php?t=22887
http://virusinfo.info/showthread.php?t=22960
http://virusinfo.info/showthread.php?t=22965
http://virusinfo.info/showthread.php?t=23646
Файлы на диске
C:\WINDOWS\herjek.exe
Способ запуска
Ключ реестра HKEY_USERS,
.DEFAULT\Software\Microsoft\Windows\CurrentVersion \Run, herjek
AndreyKa
20.05.2008, 22:08
Алиасы
Downloader.Generic7.NJL (AVG)
Downloader.Small.vuy (Ewido)
TR/Dldr.Small.vuy (AntiVir)
Trj/Downloader.TRX (Panda)
Trojan.Dldr.Small.vuy (Webwasher-Gateway)
Trojan.DownLoader.60052 (DrWeb)
TrojanDownloader.Small.vuy (CAT-QuickHeal)
W32/Small.VUY!tr.dldr (Fortinet)
http://www.virustotal.com/ru/analisis/d029393851f1173a21115ffe1eb3ab03
Описание
В файле "прямым текстом" указана ссылка на exe-файл на хосте 195.5.116.240, расположенном в Эстонии.
Встречен в темах
http://virusinfo.info/showthread.php?t=22888
http://virusinfo.info/showthread.php?t=22948
http://virusinfo.info/showthread.php?t=23007
http://virusinfo.info/showthread.php?t=23037
Файлы на диске
C:\WINDOWS\system32\subsys.dll
4096 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\subsys,
DLLName subsys.dll
AndreyKa
24.05.2008, 13:34
Алиасы
Adware/MultimediaDecoder (Panda)
Downloader.Generic7.IZY (AVG)
Druogna (McAfee)
TR/Dldr.Peregar.CG.1 (AntiVir)
Troj/Zlob-AJC (Sophos)
Trojan:Win32/Delflob.I (Microsoft)
Trojan.BHO.OAS (BitDefender)
Trojan.Dldr.Peregar.CG.1 (Webwasher-Gateway)
Trojan.Downloader-33091 (ClamAV)
Trojan.DownLoader.59078 (DrWeb)
Trojan.Fakeavalert (Symantec)
Trojan/Downloader.Peregar.cg (TheHacker)
TrojanDownloader.Peregar.cg (CAT-QuickHeal)
W32/Downldr2.BXCO (F-Prot)
W32/Peregar.CG!tr.dldr (Fortinet)
Win32: Peregar-K (Avast)
Win32/Adware.IeDefender.NDH (NOD32v2)
Win32/Burgspill!generic (eTrust-Vet)
http://www.virustotal.com/ru/analisis/7b68d746e6f0c463d050aaa1e16bd60e
Встречен в темах
http://virusinfo.info/showthread.php?t=21900
http://virusinfo.info/showthread.php?t=21941
http://virusinfo.info/showthread.php?t=22833
http://virusinfo.info/showthread.php?t=23297
Файлы на диске
Имя файла случайное, находиться в папке C:\WINDOWS, например:
C:\WINDOWS\tonsakre.dll
C:\WINDOWS\zsokry.dll
216064 байт
Способ запуска
BHO
CLSID: {95E1D855-9232-48F7-80D9-1ADB65B7939C}
AndreyKa
31.05.2008, 22:10
Алиасы
Downloader.Delf.cxa (Ewido)
GenPack:Generic.Malware.SP!BdldPk!g.1CEB408A (BitDefender)
Mal/Emogen-Y (Sophos)
MalwareScope.Trojan-PSW.Game.14 (VBA32)
SHeur.AAKQ (AVG)
TROJ_DELF.MYR (Trend Micro)
Trojan-Downloader.Win32.Delf.cxa (GData)
Trojan.Downloader-17478 (ClamAV)
Trojan.DownLoader.36467 (DrWeb)
TrojanDownloader.Delf.cxa (CAT-QuickHeal)
W32/Delf.CXA!tr.dldr (Fortinet)
W32/Heuristic-210!Eldorado (F-Prot)
W32/Hupigon.BMSP (Norman)
Win32:Agent-SIM (Avast)
Win32/SillyAutorun.AD (eTrust-Vet)
Worm:Win32/SillyShareCopy.F (Microsoft)
Worm.Win32.AvKiller.ca (Rising)
http://www.virustotal.com/ru/analisis/12bf1318282071b0700ddceb87de3f63
Встречен в темах
http://virusinfo.info/showthread.php?t=20009
http://virusinfo.info/showthread.php?t=20604
http://virusinfo.info/showthread.php?t=23080
http://virusinfo.info/showthread.php?t=23288
http://virusinfo.info/showthread.php?t=23623
Файлы на диске
C:\WINDOWS\system32\MicrSoft.exe
MicrSoft.exe в корне других дисков.
22714 байт
Способ запуска
1. Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, MicrSoft
2. Устанавливается как отладчик процессов различных антивирусов и др. программ.
Внешние проявления (со слов пользователей)
Антивирус не запускается.
Зайцев Олег
31.05.2008, 22:49
Алиасы
Downloader.Delf.cxa (Ewido)
GenPack:Generic.Malware.SP!BdldPk!g.1CEB408A (BitDefender)
Mal/Emogen-Y (Sophos)
MalwareScope.Trojan-PSW.Game.14 (VBA32)
SHeur.AAKQ (AVG)
TROJ_DELF.MYR (Trend Micro)
Trojan-Downloader.Win32.Delf.cxa (GData)
Trojan.Downloader-17478 (ClamAV)
Trojan.DownLoader.36467 (DrWeb)
TrojanDownloader.Delf.cxa (CAT-QuickHeal)
W32/Delf.CXA!tr.dldr (Fortinet)
W32/Heuristic-210!Eldorado (F-Prot)
W32/Hupigon.BMSP (Norman)
Win32:Agent-SIM (Avast)
Win32/SillyAutorun.AD (eTrust-Vet)
Worm:Win32/SillyShareCopy.F (Microsoft)
Worm.Win32.AvKiller.ca (Rising)
http://www.virustotal.com/ru/analisis/12bf1318282071b0700ddceb87de3f63
Встречен в темах
http://virusinfo.info/showthread.php?t=20009
http://virusinfo.info/showthread.php?t=20604
http://virusinfo.info/showthread.php?t=23080
http://virusinfo.info/showthread.php?t=23288
http://virusinfo.info/showthread.php?t=23623
Файлы на диске
C:\WINDOWS\system32\MicrSoft.exe
MicrSoft.exe в корне других дисков.
22714 байт
Способ запуска
1. Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, MicrSoft
2. Устанавливается как отладчик процессов различных антивирусов и др. программ.
Внешние проявления (со слов пользователей)
Антивирус не запускается.
Небольшое дополнение по зверю:
Размер исполняемого файла 22 кб, исполняемый файл упакован.
1. Выполняет через cmd.exe консольную команду date, меняя системную дату на 2005 год. Как известно, лицензии многих антивирусов привязаны к дате и перевод даты на несколько лет назад приводит к блокировке их работы
2. Зловред активирует для своего процесса привилегию SeDebugPrivilege
3. пытается остановить процессы ряда антивирусов - для этого он изучает список запущенных процессов и убивает процессы по именам
4. Создает в корне дисков файлы X:\AutoRun.inf и X:\MicrSoft.exe (MicrSoft.exe - копия исполняемого файла зловреда, в autorun классические строчки типа Shell\Open\Command=MicrSoft.exe и Shell\Explore\Command=MicrSoft.exe)
5. Зловред запускает InternetExplorer, модифицирует память его процесса и модифицирует контекст главного потока IE для запуска своего троянского кода. Аналогичную операцию он делает с svchost.exe. Зловред пытается обмениваться с Инет и загружать файлы (URL уже недоступен)
6. Повреждает параметры загрузки в защищенном режиме, удаляя ряд ключей
7. Регистрирует массу отладчиков процессов, в основном для антивирусов и прочего защитного ПО. Отладчиком он прописывает файл C:\WINDOWS\system32\MicrSoft.exe (это еще одна копия зловреда, он создает ее при запуске)
Исходный файл зловреда после запуска самоуничтожается классическим методом - при помощи BAT файла. В распакованном EXE видна внушительная база данных исполняемых файлов, с которым борется данный зловред.
AndreyKa
03.06.2008, 23:03
Алиасы
BlockReason.0 (Webwasher-Gateway)
Trojan.MulDrop.16286 (DrWeb)
http://www.virustotal.com/ru/analisis/8c3434b4cef6e431aa957312b5b79771
Встречен в темах
http://virusinfo.info/showthread.php?t=23646
http://virusinfo.info/showthread.php?t=23738
http://virusinfo.info/showthread.php?t=23742
http://virusinfo.info/showthread.php?t=23885
http://virusinfo.info/showthread.php?t=23938
http://virusinfo.info/showthread.php?t=23960
http://virusinfo.info/showthread.php?t=24016
http://virusinfo.info/showthread.php?t=24820
Файлы на диске
Файл в папке C:\WINDOWS\Temp с именем NT*.exe, где вместо звёздочки несколько шестнадцатеричных цифр, например:
C:\WINDOWS\Temp\NT11032.exe
C:\WINDOWS\Temp\NT4E32.exe
37376 байт
Способ запуска
Записывает в папки с бараузерами Internet Explorer, Opera и Firefox троянский файл setupapi.dll (Trojan.Win32.Agent.qtj)
AndreyKa
08.06.2008, 22:08
Алиасы
Agent.WGN (AVG)
Trojan:Win32/Chksyn.gen!A (Microsoft)
Trojan.Agent-26275 (ClamAV)
Trojan.Agent.qry (CAT-QuickHeal)
Trojan.PWS.Lich (DrWeb)
Win32/Agent.NWA (NOD32v2)
http://www.virustotal.com/ru/analisis/16b38717f64137a854a394d4e34fda31
Описание
При удалении данного трояна пользователь не сможет войти в систему.
Поэтому, его следует заменить на здоровый файл из папки c:\windows\system32\dllcache
Встречен в темах
http://virusinfo.info/showthread.php?t=23646
http://virusinfo.info/showthread.php?t=23696
http://virusinfo.info/showthread.php?t=23719
http://virusinfo.info/showthread.php?t=23738
http://virusinfo.info/showthread.php?t=23960
http://virusinfo.info/showthread.php?t=24115
http://virusinfo.info/showthread.php?t=24122
Файлы на диске
c:\windows\system32\userinit.exe
32212 байт
Способ запуска
Подменяет собой системный файл userinit.exe, который переименовывается в sdjeavd.tmp
AndreyKa
09.06.2008, 00:21
Алиасы
Agent.WAD (AVG)
TR/Agent.30208 (AntiVir)
Trojan.Agent-26215 (ClamAV)
Trojan.Agent.30208 (Webwasher-Gateway)
Trojan.DownLoader.62734 (DrWeb)
Trojan/Agent.qtj (TheHacker)
http://www.virustotal.com/ru/analisis/06190c990d66e17cfefc6ad500d32fc7
Встречен в темах
http://virusinfo.info/showthread.php?t=23626
http://virusinfo.info/showthread.php?t=23738
http://virusinfo.info/showthread.php?t=23960
http://virusinfo.info/showthread.php?t=24115
Файлы на диске
SETUPAPI.dll в папке браузера, например:
C:\Program Files\Internet Explorer\SETUPAPI.dll
30208 байт
Способ запуска
1. Загружается при старте браузера вместо системной библиотеки SETUPAPI.dll.
2. Прописывает себя как отладчик процесса rundll32.exe:
Debugger = "%ProgramFiles%\Internet Explorer\rundll32 setupapi.dll,s"
AndreyKa
15.06.2008, 00:24
Алиасы
BackDoor.Generic9.ARTE (AVG)
Trojan.Agent.AIVZ (BitDefender)
Trojan.DNSChanger.dqm (CAT-QuickHeal)
Trojan.NtRootKit.1182 (DrWeb)
VirTool:WinNT/Pasich.A (Microsoft)
W32/DNSChanger.BBQY (Norman)
W32/DNSChanger.DQM!tr (Fortinet)
Win32: DNSChanger-VJ (Avast)
http://www.virustotal.com/ru/analisis/f496ca385265389df80698417daa3f80
Встречен в темах
http://virusinfo.info/showthread.php?t=23646
http://virusinfo.info/showthread.php?t=23885
http://virusinfo.info/showthread.php?t=23940
http://virusinfo.info/showthread.php?t=24455
http://virusinfo.info/showthread.php?t=24499
Файл на диске
C:\WINDOWS\system32\Drivers\clbdriver.sys
6656 байт
Также на диске существует файл:
C:\WINDOWS\system32\clbdll.dll
который может детектироваться под разными именами, например:
Rootkit.Win32.Clbd.p
Rootkit.Win32.Clbd.bb
Trojan-Downloader.Win32.Agent.qpq
Способ запуска
Упоминания о данном рутките может отсутствовать в логах AVZ, выполненных согласно Правилам нашего форума.
Обнаружить присутствие данного руткита AVZ может, если установлен драйвер расширенного мониторинга процессов AVZPM.
Внешние проявления (со слов пользователей)
Не запускаются браузеры Opera и Firefox, работает только Internet Explorer.
Обновление антивируса не работает. Сайт антивируса не доступен.
AndreyKa
21.06.2008, 17:37
Алиасы
PSW.Agent.TMB (AVG)
TR/Dldr.Agent.NDX.2 (AntiVir)
Trj/Downloader.TZF (Panda)
Troj/Bckdr-QNZ (Sophos)
Trojan.Dldr.Agent.NDX.2 (Webwasher-Gateway)
Trojan.DownLoader.63153 (DrWeb)
Trojan/Downloader.Agent.nsx (TheHacker)
TrojanDownloader.Agent.nsx (CAT-QuickHeal)
TSPY_AGENT.AGDG (TrendMicro)
W32/Generic.A!tr.dldr (Fortinet)
Win32:Trojan-gen {Other} (Avast)
Win32.Worm.Socks.AT (BitDefender)
Win32/Zalup.AA (NOD32v2)
http://www.virustotal.com/ru/analisis/a12aaf2f7783d0aafcd239271e21359b
Встречен в темах
http://virusinfo.info/showthread.php?t=24176
http://virusinfo.info/showthread.php?t=24394
http://virusinfo.info/showthread.php?t=24402
http://virusinfo.info/showthread.php?t=24612
http://virusinfo.info/showthread.php?t=24669
http://virusinfo.info/showthread.php?t=24677
http://virusinfo.info/showthread.php?t=24679
http://virusinfo.info/showthread.php?t=24737
http://virusinfo.info/showthread.php?t=24806
Файлы на диске
Встречается под разными именами, например:
C:\WINDOWS\system32\explorer.dll
C:\WINDOWS\system32\ftp34.dll
C:\Documents and Settings\Администратор\ftp34.dll
C:\Documents and Settings\User\explorer.dll
4608 байт
Создаётся вредоносными программами:
P2P-Worm.Win32.Socks.ea
P2P-Worm.Win32.Socks.ec
Они могут иметь следующие имена:
C:\Documents and Settings\_Пользователь_\Главное меню\Программы\Автозагрузка\userinit.exe
C:\Documents and Settings\_Пользователь_\svchost.exe
C:\WINDOWS\system32\drivers\services.exe
AndreyKa
22.06.2008, 21:01
Алиасы
TR/Drop.Agent.KCN (AntiVir)
Trojan.DL.Win32.Mnless.ajh (Rising)
Trojan.DownLoader.62860 (DrWeb)
Trojan.Drop.Agent.KCN (Webwasher-Gateway)
Trojan/Downloader.Agent.nzo (TheHacker)
TrojanDownloader.Agent.nzo (CAT-QuickHeal)
W32/Srizbi.BH (Norman)
Win-Trojan/Agent.12800.EH (AhnLab-V3)
http://www.virustotal.com/ru/analisis/15f9ecc00713c5682b25b438181b85b8
Описание
При удалении данного трояна пользователь не сможет войти в систему.
Поэтому, его следует заменить на здоровый файл из папки c:\windows\system32\dllcache
Загружает и запускает вредоносные программы с сайта maseratto.info
Встречен в темах
http://virusinfo.info/showthread.php?t=24679
http://virusinfo.info/showthread.php?t=24680
http://virusinfo.info/showthread.php?t=24737
http://virusinfo.info/showthread.php?t=24754
http://virusinfo.info/showthread.php?t=24768
Файлы на диске
C:\WINDOWS\system32\userinit.exe
12800 байт
Способ запуска
Подменяет собой системный файл userinit.exe, который переименовывается в userini.exe
Внешние проявления
Сам себя не проявляет, но вредоносные программы, которые он скачивает из Интернета и запускает, могут проявлять себя. Например, так:
На рабочем столе появляется надпись:
Warning!
Spyware detected on your computer!
Install an antivirus or spyware remover to
clean you computer.
При этом отключается служба восстановления системы (чтобы удалить все сохранённые состояния) и затем включается и создаётся точка восстановления с именем "Last good restore point".
AndreyKa
12.07.2008, 10:24
Алиасы
Downloader.Generic7.YAV (AVG)
TR/Dldr.FraudLoad.vagw (AntiVir)
TROJ_RENOS.WR (TrendMicro)
Trojan.Dldr.FraudLoad.vagw (Webwasher-Gateway)
TrojanDownloader:Win32/Renos.DG (Microsoft)
TrojanDownloader.FraudLoad.va (CAT-QuickHeal)
Win32/Adware.IeDefender.NGB (NOD32v2)
http://www.virustotal.com/ru/analisis/866b07be5f4b320102bf3a9c857565e1
Описание
При использовании Internet Explorer имитирует сообщения о вирусной атаке и предлагает получить защиту (на самом деле установить троян).
Insecure Internet activity. Threat of virus attack
__________________________________________________ _______
Due to insecure Internet browsing your PC can easily get infected with viruses, worms and trojans without your
...
Кроме того, при посещении страниц в IE и при открытии папок в Проводнике появляется всплывающее окно сообщения с заголовком Critical Error!
Текст сообщения:
Attention, [имя пользователя]! Some dangerous viruses detected in you system. Microsoft Windows XP files corrupted.
This may lead to the destruction of important files in C:\WINDOWS. Download protection software now!
Click OK to download the antispyware. (Recommended)
Если пользователь соглашается, то открывается страница на сайте free-viruscan.com с ложными данными о наличии ошибок и предлагающих скачать антивирус чтобы их исправить.
Фальшивый антивирус загружается с домена getieantivirus.com и на данный момент детектируется как:
ADSPY/AdSpy.Gen (AntiVir)
Trojan:Win32/Delflob.I (Microsoft)
IE Defender-Installer (Sophos)
http://www.virustotal.com/ru/analisis/c672d41c160f15c31961ca3cfd40a77e
Встречен в темах
26099
26111
26188
Файлы на диске
Имена у файла могут быть различные. Например:
C:\WINDOWS\system32\epsonbho.dll
C:\WINDOWS\system32\epsdrv.dll
C:\WINDOWS\system32\epsbho.dll
22528 байт
Способ запуска
BHO
CLSID {87FD33C2-7891-45D5-ACD1-7935F9AEA26B}
Дополнительные алиасы Trojan.Win32.BHO.eya
TR/BHO.eya (AntiVir)
TROJ_FAKEAVALE.L (TrendMicro)
Trojan.BHO.eya (CAT-QuickHeal)
Trojan.Click.19457 (DrWeb)
Trojan.Renos.NDD (BitDefender)
W32/BHO.DPO (Norman)
Win32/Adware.IeDefender.NGG (NOD32v2)
http://www.virustotal.com/ru/analisis/7e1d20d3c307c280be40dc54c6d42980
Встречен в темах
26423
26425
26428
26487
Файлы на диске
Возможны различные названия, например:
C:\WINDOWS\system32\iefltr.dll
C:\WINDOWS\system32\iexp_f.dll
20992 байт
Способ запуска
BHO
CLSID {8B2AE9C0-1555-4C92-905A-531532F15698}
Дополнительные алиасы Trojan-Downloader.Win32.BHO.qb
BHO.FEW (AVG)
TR/Dldr.BHO.QB (AntiVir)
TROJ_DLOADER.KRK (TrendMicro)
Troj/Istbar-DY (Sophos)
Trojan.BHO-3834 (ClamAV)
Trojan.Dldr.BHO.QB (Webwasher-Gateway)
Trojan.Fakealert.1187 (DrWeb)
Trojan.Fakeavalert (Symantec)
Trojan.Win32.Downloader.20480.HL (ViRobot)
Trojan.Zlob.CQJ (BitDefender)
TrojanDownloader.BHO.qb (CAT-QuickHeal)
W32/Zlob.CDZP (Norman)
Win32/Adware.IeDefender.NGT (NOD32v2)
http://www.virustotal.com/ru/analisis/da51b2ee735be27861aef8f56f9b8ec2
Описание
Теперь в окне Internet Explorer отображается такое сообщение с сайта free-viruscan.com:
Warning - you are infected by this site! Please, read our suggestions!
You can learn more about harmful web content and protect your computer at Internet Explorer Antivirus.
Just download IE Antivirus Now and Protect your Business forever!
Встречен в темах
27901
27977
27980
28119
Файлы на диске
Имя файла может быть различным:
C:\WINDOWS\system32\gtbl.dll
C:\WINDOWS\system32\g2tbl.dll
20480 байт
Способ запуска
BHO GTool
CLSID: {53322B35-2C26-4FAC-A713-C31BBAA1C636}
AndreyKa
05.08.2008, 22:34
Алиасы
Adware.XMLMime.1 (DrWeb)
Adware.XmlMimeFilter.85504 (ViRobot)
Generic3.IIY (AVG)
TR/BHO.Agent.85504 (AntiVir)
Trojan.Adclicker (Symantec)
Trojan.BHO.Agent.85504 (Webwasher-Gateway)
Win32/Adware.Agent.NJB (NOD32v2)
http://www.virustotal.com/ru/analisis/c433b44805afb00759bc2d8cf561787d
Описание
В файле зашиты два списка имен доменов. Первый:
yandex.ru
rambler.ru
google.com
mail.ru
google.ru
vkontakte.ru
odnoklassniki.ru
И второй, скорее всего, как источник фальшивых данных для искажения работы сайтов из первого списка:
01searchfeed.ru
allfindz.ru
allianzoo.ru
beefunny.ru
cangomors.ru
partymotex.ru
sites-obzor.ru
site-ortek.ru
v-cataloge.ru
www.4-seacher.ru
Встречен в темах
26789
27123
27180
27490
27717
Файлы на диске
C:\windows\twain_8.dll
85504 байт
Способ запуска
Protocol
Описание: DLL Module (XMLMimeFilter MIME Filter Sample)
CLSID: {53B95211-7D77-11D2-9F80-00104B107C96}
Файл: C:\windows\twain_8.dll
AndreyKa
19.08.2008, 23:07
Алиасы
TR/Agent.zdw (AntiVir)
Trojan.Agent.zdw (CAT-QuickHeal)
Trojan.Packed.573 (DrWeb)
Trojan.Win32.Agent.43008.O (ViRobot)
W32/Agent.ZDW!tr (Fortinet)
Win-Trojan/Proxy.43008.B (AhnLab-V3)
http://www.virustotal.com/ru/analisis/af45d51f7671ff65e7df3444e75c6ba8
Описание
Может запускаеть несколько своих процессов.
Останавливает службы "Центр обеспечения безопасности" и "Брандмауэр Windows".
Добавляет себя в список исключений Брандмауэра Windows.
Способен отправлять сообщения по электронной почте.
В файле пристствуют IP адреса 192.168.1.164, 206.137.17.89, 66.232.109.178 и 209.20.130.33.
Встречен в темах
28227
28288
28324
28440
28506
Файлы на диске
C:\WINDOWS\services.exe
43008
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, services
C:\WINDOWS\services.exe
AndreyKa
20.08.2008, 22:08
Алиасы
Antivirus2008.DO (Norman)
Backdoor.Win32.Frauder.r (GData)
Hoax.Win32.AntivirusXP (VBA32)
MemScan:Trojan.FakeAlert.AAH (BitDefender)
SHeur.CDJI (AVG)
TR/Fakealert.aah.9 (AntiVir)
Trj/Banker.FWD (Panda)
Trojan.Blusod (Symantec)
Trojan.Fakealert.aah.9 (Webwasher-Gateway)
Trojan.Packed.600 (DrWeb)
TrojanBanker.Banker.uvo (CAT-QuickHeal)
TrojanDownloader:Win32/Renos.gen!AU (Microsoft)
W32/Banker.UVO!tr (Fortinet)
Win-Trojan/FakeAV.194560 (AhnLab-V3)
http://www.virustotal.com/ru/analisis/ef77c288995fc2bdd11ee1b5aa9f7c4e
Описание
Копирует себя в системую папку Windows.
Прописывается в реестре для автозагрузки.
Устанавливает в качестве фона рабочего стола картинку с надписью:
Warning!
Spyware detected on you computer!
Install an antivirus or spyware to clean your computer
Warning! Win32/Adware.Virtumode
Detected on you computer
Warning! Win32/PrivacyRemover.M64
Detected on you computer
Устанавливает в качестве хранителя экрана имитацию BSOD (синий экран).
Удает все сохранённые точки восстановления и затем создаёт точку восстановления с именем "Last good restore point" (она содержит в себе данный троян).
В файле присутствуют следующие имена доменов:
odnoklassniki.ru
vkontakte.ru
google.ru
statsbank.com
boards.cexx.org
adultwebmasterinfo.com
dialerschutz.de
webmasterworld.com
crutop.nu
gofuckyourself.com
santa-inbox.com
Встречен в темах
28328
28355
28440
Файлы на диске
c:\windows\system32\lphc_набор_букв_и_цифр_.exe
194560 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, lphc1j5j0e3gd
C:\WINDOWS\system32\lphc1j5j0e3gd.exe
(Прим.: имена файла и ключа будут другие)
Внешние проявления (со слов пользователей)
На рабочем столе появилось изображение с надписью "Warning! Spyware detected on your computer!..." на белом фоне, в свойствах рабочего стола исчезли вкладки "Рабочий стол" и "Заставка".
Алиасы Backdoor.Win32.Frauder.bu
BDS/Frauder.bu (AntiVir)
Downloader-ASH.gen.b (McAfee)
Downloader.FraudLoad.N (AVG)
TROJ_FAKEALER.OE (TrendMicro)
Trojan.Backdoor.Frauder.bu (Webwasher-Gateway)
Trojan.FakeAlert.ACR (BitDefender)
Trojan.Packed.619 (DrWeb)
Trojan.Win32.Packed.203776 (ViRobot)
W32/Tibs.gen225 (Norman)
Win32:Tibs-EJA (Avast)
http://www.virustotal.com/ru/analisis/b77911ddff8f9c5837c9503f1dd40a30
Встречен в темах
28948
28984
29008
29010
29036
29059
29068
29142
29182
29250
Файл на диске
203776 байт
Алиасы Backdoor.Win32.Frauder.fk
BDS/Frauder.FJ (AntiVir)
Downloader.Generic7.AOUH (AVG)
TROJ_FAKEAV.HP (TrendMicro)
Trojan.FakeAlert.AEZ (BitDefender)
Trojan.Packed.636 (DrWeb)
TrojanDownloader:Win32/Renos.AS (Microsoft)
W32/ASH.FJ!tr.bdr (Fortinet)
W32/DLoader.JNTL (Norman)
Win-Trojan/Fakeav.199168.G (AhnLab-V3)
Win32.Backdoor.Frauder.fk.4 (CAT-QuickHeal)
Win32/Bugnraw.KS (eTrust-Vet)
Win32/TrojanDownloader.FakeAlert.JP (NOD32v2)
http://www.virustotal.com/ru/analisis/d003731704b3f10d134a194ff4e61825
Отличия Backdoor.Win32.Frauder.fk
В файле присутствуют следующие имена доменов:
av-xp2008.com
presents.avxp2008.com
youpornztube.net
Встречен в темах
30163
30178
30198
30225
30268
30279
30298
30303
30318
30347
31122
31492
Файл на диске
199168 байт
AndreyKa
30.08.2008, 22:04
Алиасы
TR/PSW.Agent.knw (AntiVir)
Trojan.BHO.gcs (CAT-QuickHeal)
Trojan.Click.20003 (DrWeb)
Trojan.PSW.Agent.knw (Webwasher-Gateway)
Trojan.Win32.BHO.249856 (ViRobot)
Trojan/BHO.gcs (TheHacker)
Win-Trojan/Bho.249856 (AhnLab-V3)
http://www.virustotal.com/ru/analisis/a94cdd71dc8c0b0b915c3ecafcb04ebe
Встречен в темах
28396
28442
28499
28651
28755
28850
28980
29129
29218
29453
Файлы на диске
C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
249856 байт
Также возможно присутствие вредоносных файлов:
C:\WINDOWS\SYSTEM32\VIDEO.sys
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\winhelp32.exe
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp
Способ запуска
1. Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
Значение: C:\WINDOWS\SYSTEM32\vmmreg32.dll
2. BHO {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}
C:\WINDOWS\system32\vmmreg32.dll
3. AppInit_DLLs: vmmreg32.dll
AndreyKa
07.09.2008, 18:01
Алиасы
PSW.Generic6.YOJ (AVG)
TR/Spy.ZBot.eev.4 (AntiVir)
Trojan.Proxy.3780 (DrWeb)
Trojan.Spy.ZBot.eev.4 (Webwasher-Gateway)
Trojan.Spy.ZBot.JR (BitDefender)
W32/Zbot.AXZ (Norman)
http://www.virustotal.com/ru/analisis/06d1095f77997b4c62be8e4aff2a976c
Описание
При запуске троян прописывет свою автоматическую загрузку в реестре, подключается к серверу с адресом 195.2.252.33 и скачивает зашифрованный файл.
Данный сервер находится в сети провайдера Madet Ltd. г. Москва.
В данный момент на нём также выложены другие вредоносные файлы:
1.exe = Trojan.Srizbi.Dropper.1.Gen
2.exe = Rootkit.Win32.Agent.cun (Trojan.Proxy.3541)
Встречен в темах
28621
28898
28948
29172
29221
29324
29542
Файлы на диске
С:\WINDOWS\system32\oembios.exe
размер файла в пределах ~100-600 КБ.
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon
UserInit=C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\oembios.exe,
Внешние проявления (со слов пользователей)
Компьютер перезагружается после входа пользователя в нормальном режиме загрузки Windows.
AndreyKa
14.09.2008, 14:51
Алиасы
Adware.Agent.ZO (PCTools)
Adware.Bravia.Gen!Pac.2 (VirusBuster)
Backdoor.Agent.ZQB (BitDefender)
Backdoor.Small.ejx (CAT-QuickHeal)
Backdoor.Small.eug (Ewido)
Backdoor.Win32.Small.6144.F (ViRobot)
Backdoor.Win32.Small.ejx (K7AntiVirus)
Backdoor/Small.eug (TheHacker)
TROJ_AGENT.AEUM (TrendMicro)
Trojan.Proxy.1739 (DrWeb)
Trojan.Virantix.C (Symantec)
Trojan.Win32.Undef.krb (Rising)
TrojanDownloader:Win32/Eldycow.gen!A (Microsoft)
W32/Backdoor2.CCYP (F-Prot)
W32/Small.EU!tr.dldr (Fortinet)
W32/Smalldoor.BZKQ (Norman)
Win-Trojan/Agent.6144.HK (AhnLab-V3)
Win32/Eldycow.EL (eTrust-Vet)
Win32/TrojanDownloader.Agent.OBD (NOD32v2)
http://www.virustotal.com/ru/analisis/a01df32955ec68e9e6fe3b99461de96e
Встречен в темах
28722
29426
29657
29693
29716
29743
29766
29857
29858
29889
29929
29955
29972
29986
30174
31021
31219
Файлы на диске
C:\WINDOWS\system32\karina.dat
6144 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
C:\WINDOWS\system32\karina.dat
Дополнительные алиасы Backdoor.Win32.Small.gjm
Backdoor.Agent.ZWW (BitDefender)
Trj/Downloader.MDW (Panda)
TROJ_VIRANTIX.BF (TrendMicro)
Trojan.Perfcoo!sd6 (PCTools)
W32/Agent.AEUM!tr (Fortinet)
W32/DLoader.KBCH (Norman)
Win32/SillyDl.FQJ (eTrust-Vet)
http://www.virustotal.com/ru/analisis/eb9f7f2780c14b83a07ca86f1937a6e5
Встречен в темах
31541
31868
31892
32250
32314
32456
32505
32512
32609
32680
32736
32754
32863
32969
32991
33047
Файл на диске
C:\WINDOWS\system32\karna.dat
AndreyKa
29.09.2008, 00:17
Алиасы
Adware.XPSecurityCenter.R.10240 (ViRobot)
Aplicacion/XPSecurityCenter.ai (TheHacker)
Dropper.Bravix.A (AVG)
Misc/XPSecurityCenter (Fortinet)
Packer.Malware.Lighty.F (BitDefender)
TR/Dldr.FakeAler.FM (AntiVir)
TROJ_MALBEHV.MCS (TrendMicro)
Trojan.Dldr.FakeAler.FM (SecureWeb-Gateway)
Trojan.Packed.612 (DrWeb)
Trojan.Virantix.C (Symantec)
Trojan.Zlob.Gen!Pac.54 (VirusBuster)
TrojanDownloader:Win32/Renos (Microsoft)
W32/Lighty.B (Norman)
Win32:Bravix (Avast)
Win32/FakeAVDl.Z (eTrust-Vet)
Win32/TrojanDownloader.FakeAlert.GU (NOD32)
http://www.virustotal.com/ru/analisis/69ff6b8ede23794abfe48193ca7adcdf
Описание
Показывает в трее красный круг с белым иксом.
Показывает всплывающее сообщение:
You computer is infected!
Windows has detected spyware infection!
It is recommended to use special antispyware tools to prevent
data loss.Windows will now download and install the most
up-to-date antispyware for you.
Click here to protect you computer from spyware!
Устанавливает http://www.google.com как стартовую страницу Internet Explorer.
Включает использование элементов ActiveX не помеченных как безопасные.
Отключает сообщения Центра Безопасности Windows о выключенном Брандмауэре, антивирусе и Автоматическом обновлении Windows.
Содержит имена доменов:
antispyware-quick-scan.com
antivirus-quick-scan.com
spyware-quickscan-2008.com
spyware-quickscan-2009.com
virus-quickscan-2008.com
virus-quickscan-2009.com
Встречен в темах
29858
29905
29911
29929
29955
29986
30283
Файлы на диске
C:\WINDOWS\system32\buritos.exe
C:\WINDOWS\system32\braviax.exe
c:\windows\buritos.exe
10240 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, braviax
C:\WINDOWS\system32\braviax.exe
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, braviax
C:\WINDOWS\system32\braviax.exe
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, buritos
C:\WINDOWS\system32\buritos.exe
Дополнительные алиасы Hoax.Win32.Bravia.ir
Adware/RogueAntimalware2008 (Panda)
Backdoor.Tidserv (Symantec)
Hoax.Antivirus2008.Do.9216 (ViRobot)
Hoax.Bravia.ir (CAT-QuickHeal)
Hoax.Win32.Renos.vazk (VBA32)
TROJ_FAKEALER.NP (TrendMicro)
http://www.virustotal.com/ru/analisis/5b021c2b06d5c2d400fa7aeaeb95388a
Встречен в темах
29633
29657
29716
29743
29875
29889
29972
31217
31219
Файл на диске
9216 байт
AndreyKa
05.10.2008, 22:05
Алиасы
PSW.Generic6.AFNB (AVG)
PWS:Win32/Zbot.MW (Microsoft)
Trojan.PWS.Panda.18 (DrWeb)
TrojanSpy.Zbot.fah (CAT-QuickHeal)
TSPY_ZBOT.MCS (TrendMicro)
W32/Zbot.BGI (Norman)
Win32: Zbot-APE (Avast)
http://www.virustotal.com/ru/analisis/49cc4383676973ad6884f77a4db53e19
Описание
Копирует себя в системную папку.
Прописывает себя в реестр для автозагрузки.
Пытается похитить ключи и пароли к сайту интернет-банкинга faktura.ru
Подключается к серверу с адресом 195.2.252.33 и скачивает зашифрованный файл.
Сервер 195.2.252.33 в данный момент распространяет новую версию данного трояна:
http://www.virustotal.com/ru/analisis/188e1f3f7cd33c56be26d7e03517b46d
Встречен в темах
30779
30972
31026
31095
31391
Файлы на диске
C:\WINDOWS\system32\twext.exe
C:\WINDOWS\system32\twext.ex_
К телу размером 55296 байт дописано до нескольких сотен килобайт "мусора".
Способ запуска
Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
C:\WINDOWS\system32\twext.exe
C:\WINDOWS\system32\twext.ex_
AndreyKa
07.10.2008, 20:06
Алиасы
Agent.ADDO (AVG)
BackDoor.Bulknet.237 (DrWeb)
Mal/Pushdo-A (Sophos)
TR/Agent.aeuz.4 (AntiVir)
Trj/Downloader.MDW (Panda)
Trojan:Win32/Meredrop (Microsoft)
Trojan.Agent.aeuz.4 (SecureWeb-Gateway)
Trojan.DR.Pandex.Gen.6 (VirusBuster)
Trojan.Generic.747469 (BitDefender)
Trojan.Win32.Agent.22528.Y (ViRobot)
W32/Agent.AEUZ!tr (Fortinet)
Win-Trojan/Agent.22528.IX (AhnLab-V3)
http://www.virustotal.com/ru/analisis/0cea21e20b851dc8e25581c4c26a00c9
Описание
Обращается к web серверам американского провайдера McColo (адреса: 208.66.192.0 - 208.66.195.255), на которых находятся многочисленные вредоносные программы.
Встречен в темах
30956
31047
31285
31551
Файлы на диске
C:\WINDOWS\System32\rs32net.exe
22528 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, rs32net
C:\WINDOWS\System32\rs32net.exe
AndreyKa
09.10.2008, 01:04
Алиасы
BackDoor.Bulknet.264 (DrWeb)
Trj/Downloader.MDW (Panda)
Trojan.Agent.afkj (CAT-QuickHeal)
Trojan.Crypt.LooksLike.XPACK (SecureWeb-Gateway)
TrojanDownloader:Win32/Cutwail.AA (Microsoft)
http://www.virustotal.com/ru/analisis/db29368b673a9740f0b17e03bcc376ca
Описание
Останавливает службы Брандмауэр и Центр безопасности Windows.
Отключает Брандмауэр Windows через политики и отключает мониторинг состояния Брандмауэра Windows в Центре безопасности Windows.
Открывает порт 1060 TCP.
В теле трояна присутствуют IP адреса 209.20.130.33 и 66.232.118.207.
Способен отправлять электронную почту (SPAM).
Встречен в темах
31408
31577
31638
Файлы на диске
c:\windows\services.exe
40448 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, services
C:\WINDOWS\services.exe
AndreyKa
09.10.2008, 18:13
Алиасы
Agent.ADTD (AVG)
TR/Agent.afic.1 (AntiVir)
Trj/Downloader.MDW (Panda)
Trojan.Agent.afic.1 (SecureWeb-Gateway)
Trojan.DownLoad.5244 (DrWeb)
W32/Agent.AFIC!tr (Fortinet)
W32/Agent.IRCJ (Norman)
Win32/Spy.Agent.NJL (NOD32)
http://www.virustotal.com/ru/analisis/49f7abda9a9488c47019424f19bcbb1a
Описание
"Шпионит" за программами explorer.exe, webmoney.exe, iexplore.exe, opera.exe и firefox.exe.
Встречен в темах
31157
31477
31624
Файлы на диске
C:\WINDOWS\system32\msvcrt57.dll
Способ запуска
Подменяет в реестре Windows стандартный модуль webcheck.dll:
1.Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\ShellSer viceObjectDelayLoad, WebCheck
2.Модуль расширения проводника
Имя: WebCheck
CLSD: {E6FB5E20-DE35-11CF-9C87-00AA005127ED}
Файл: C:\WINDOWS\system32\msvcrt57.dll
AndreyKa
11.10.2008, 15:21
Алиасы
RootKit.Win32.Undef.rx (Rising)
Spammer:WinNT/Srizbi.gen!B (Microsoft)
Trj/Pakes.EB (Panda)
Trojan.Generic.753846 (BitDefender)
Trojan.Pakes!sd6 (PCTools)
Trojan.Pakes.kmn (CAT-QuickHeal)
Trojan.Sentinel.based (DrWeb)
W32/Smalltroj.HJSV (Norman)
Win32:Agent-ABJY (Avast)
Win32/Srizbi.NBP (NOD32)
http://www.virustotal.com/ru/analisis/1ed4fa6bbdc2bd988616b5e1ac5c0892
Описание
Попадает на компьютер, как правило, через СПАМ со ссылокой на выполняемый файл (e-card.exe).
Руткит. Функционирует как модуль пространства ядра.
Встречен в темах
30643
30972
31439
31747
Файлы на диске
Файл с расширением sys в папке C:\WINDOWS\system32\Drivers со случайным именем из 8 латинских символов.
178176 байт
Способ запуска
Драйвер с именем как у файла (случайное).
Внешние проявления (со слов пользователей)
Работа компьютера заторможенна.
AndreyKa
24.10.2008, 05:00
Алиасы
Downloader.Generic7.BCEZ (AVG)
TR/Crypt.GU.22 (AntiVir)
Trojan.Crypt.GU (BitDefender)
Trojan.Crypt.GU.22 (SecureWeb-Gateway)
Trojan.PWS.Siggen.22 (DrWeb)
Trojan.Win32.Downloader.16896.ACL (ViRobot)
TrojanDownloader:Win32/Bofang.B (Microsoft)
TrojanDownloader.Delf.phh (CAT-QuickHeal)
W32/Delf.CRNA (Norman)
W32/Delf.PHH!tr.dldr (Fortinet)
http://www.virustotal.com/ru/analisis/897849cb479ad790713efea36329fe9c
Описание
Записывает свою копию в файл %USERPROFILE%\Application Data\Adobe\Player.exe
В файле присутствуют URL c IP адресами 78.157.143.163 и 91.203.93.6.
По этим адресам расположены списки URL exe-файлов.
Дополнительно встречаются IP адреса 78.157.143.198 и 78.157.142.26.
Троян использует службу Windows BITS для загрузки файлов.
В данный момент упомянутые файлы детектируются антивирусом Касперского так:
Backdoor.Win32.Frauder.mb
Backdoor.Win32.Frauder.mo
Backdoor.Win32.Frauder.mr
Backdoor.Win32.Frauder.mu
Backdoor.Win32.Frauder.mv
Backdoor.Win32.Frauder.nc
Backdoor.Win32.Frauder.nd
Backdoor.Win32.TDSS.aao
Backdoor.Win32.TDSS.anp
Trojan-Downloader.Win32.Agent.ajnq
Встречен в темах
32407
32424
32453
Файлы на диске
C:\WINDOWS\system32\rgdam.exe
16896 байт
Способ запуска
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run
Player = "%AppData%\Adobe\Player.exe"
AndreyKa
26.10.2008, 01:57
Алиасы
Adware.XPSecurityCenter.R.72660.G (ViRobot)
Downloader.MisleadApp (Symantec)
FraudTool.XPSecurityCenter.be (Not a Virus) (CAT-QuickHeal)
Generic3.YJG (AVG)
PHISH/Fraud.XPSecurityCenter.BE (AntiVir)
Trojan.Fakealert.1629 (DrWeb)
TrojanDownloader:Win32/FakeRean.gen!B (Microsoft)
W32/Behav-Heuristic-060 (TheHacker)
W32/FakeAV.EJ (F-Prot)
Win32:FraudLoad-SB (Avast)
Win32/Adware.XPAntiSpyware.AA (NOD32)
Win32/FakeAlert.HT (eTrust-Vet)
http://www.virustotal.com/ru/analisis/e4aa78ef8f3a75b42bccea2be8bb9c80
Описание
Скачивает с сайта downloadsoftindex.com и запускает программу XP Antispyware 2009(Trojan.Win32.FraudPack.gju), имитирующую работу антишпионской программы. XP Antispyware 2009 находит не существующие вредоносные файлы и предлагает зарегистрироваться на сайте xpas2009.com за 50$ для того чтобы удалить их (на следующей странице уже указана другая цена - $75.95).
Встречен в темах
32446
32456
32505
32856
33185
Файлы на диске
C:\WINDOWS\system32\wini10806.exe (цифры в имени случайные)
C:\Program Files\XP_AntiSpyware\Uninstall.exe
72660 байт
AndreyKa
02.11.2008, 01:58
Алиасы
Downloader.MisleadApp (Symantec)
Downloader.Zlob.AEXO (AVG)
OScope.Downloader.Braviax.3 (VBA32)
Packer.Malware.Lighty.I (BitDefender)
Spyware.Pakes.9728.B (ViRobot)
TR/Pakes.lel (AntiVir)
TROJ_PAKES.GA (TrendMicro)
Trojan-Downloader.MisleadApp!sd6 (PCTools)
Trojan:Win32/Renos.I (Microsoft)
Trojan.Click.19754 (DrWeb)
Trojan.Pakes.lel (CAT-QuickHeal)
Trojan.Renos.ATC (VirusBuster)
W32/FakeAlert.LEL!tr (Fortinet)
W32/Lighty.E (Norman)
Win-Trojan/Pakes.9728.G (AhnLab-V3)
Win32: Lighty-B (Avast)
Win32/FakeAlert.HU (eTrust-Vet)
http://www.virustotal.com/ru/analisis/f3717fbb05b9157b648515259ec89c0b
Описание
Показывает в трее красный круг с белым иксом.
Показывает всплывающее сообщение:
You computer is infected!
Windows has detected spyware infection!
It is recommended to use special antispyware tools to prevent
data loss.Windows will now download and install the most
up-to-date antispyware for you.
Click here to protect you computer from spyware!
Устанавливает http://www.google.com как стартовую страницу Internet Explorer.
Включает использование элементов ActiveX не помеченных как безопасные.
Отключает сообщения Центра Безопасности Windows о выключенном Брандмауэре, антивирусе и Автоматическом обновлении Windows.
Содержит имена доменов:
do-scan-progress.com
do-make-progress.com
do-progress.com
do-managed-scan.com
do-power-scan.com
do-step-scan.com
do-monster-progress.com
do-monsterscan.com
do-powerscan.com
do-stepscan.com
domonster-progress.com
domonster-scan.com
dopower-scan.com
dostep-scan.com
Обращяется к одному из них и получает переадресацию на файл Installer.exe (Trojan.Packed.1214) на сайте xpas-2009.com.
Сохраняет его под именем C:\WINDOWS\system32\wini10541.exe и запускает.
Последний в свою очередь закачивает и запускает фальшивый антивирус XP Antispyware 2009 c сайта download-soft-index.com.
Встречен в темах
32270
32505
32512
32609
Файл на диске
c:\windows\system32\brastk.exe
9728 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run,
Ключ реестра HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion \Run,
brastk = c:\windows\system32\brastk.exe
Дополнительные алиасы FraudTool.Win32.XPSecurityCenter.bn
Adware.XPSecurityCenter.R.10752.B (ViRobot)
Misc/XPSecurityCenter (Fortinet)
Packer.Malware.Lighty.N (BitDefender)
SHeur.CQPD (AVG)
TROJ_VIRANTIX.CX (TrendMicro)
Trojan-Downloader.Win32.Braviax.gf (VBA32)
Trojan.Fakealert.1671 (DrWeb)
Trojan.Virantix!sd6 (PCTools)
Trojan.Virantix.C (Symantec)
TrojanDownloader:Win32/Renos (Microsoft)
W32/FakeAlert.ET (F-Prot)
W32/Virantix.HJ (Norman)
Win32: Lighty-B (Avast)
Win32/FakeAlert.IJ (eTrust-Vet)
Win32/TrojanDownloader.FakeAlert.GU (NOD32)
http://www.virustotal.com/ru/analisis/26722ff719440efecd9f0de8329dc1ba
Встречен в темах
32714
32736
32849
32856
Файл на диске
c:\windows\system32\brastk.exe
10752 байт
vBulletin® v4.2.5, Copyright ©2000-2025, Jelsoft Enterprises Ltd. Перевод: zCarot