Trojan-PSW.Win32.OnLineGames.

похоже новая модификация
распространяется через сменные носители
в корне всех доступных дисков создаются:
[B]80avp08.com
autorun.inf
u.bat[/B]
(атрибут файлов - скрытый)
активируется через двойной клик по диску в проводнике (autorun)
признаки активности
.отключает просмотр скрытых файлов в проводнике (изменение через настройки папки не действует)
.по двойному клику диски открываются в отдельном окне
. в файлменеджере (типа FAR) находятся файлы

в System32:
[B]amvo.exe
amvo0.dll
amvo1.dll[/B]

в корне дисков:
[B]80avp08.com
autorun.inf
u.bat[/B]

и вероятно могут быть эти:
[B]Ghost.pif
ntde1ect.com[/B]

Угу, обновили. Еще бывает файл \WINDOWS\system32\wincab.sys.
Были autorun.inf и semo2k.exe в корневых директориях, amvo.exe, amvo0.dll, amvo1.dll в system32.
Сейчас детектятся как Trojan-PSW.Win32.OnLineGames.ngm по касперскому, дрвеб экзешники называет Trojan.MulDrop.6474, а dll - Trojan.PWS.Wsgame.2387.
Меняет ключи:
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000002
"ShowSuperHidden"=dword:00000000

Для отображения скрытых директорий и файлов надо ставить их в 1.

\WINDOWS\system32\wincab.sys
драйвер "прикрытия"
есть и сейчас, он запакован в теле, основных модулей.
распаковывается> устанавливается >стартует >удаляется с диска (драйвера это позволяют)
так что драйвер активен, но на диске его нет

кстати, на виртуалке полностью пропатченная винда, эта кака почемуто не запустилась. (кстати использует явно "Microsoft .NET Framework")

[quote=Alexey P.;168781]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000002
"ShowSuperHidden"=dword:00000000

Для отображения скрытых директорий и файлов надо ставить их в 1.[/quote]
А поточнее? [B]dword:1[/B]? Или заменять последний ноль в перечне цифр на 1?

Смотря чем меняете.
В regedit: "Изменить" и поставить вместо 0 1.
В .reg файле, начинающемся со строки REGEDIT4 (т.е. формата .reg Win9x/NT4) - заменить только последнюю цифру 0 или 2 на 1.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE=Virtual;169253]
кстати, на виртуалке полностью пропатченная винда, эта кака почемуто не запустилась. (кстати использует явно "Microsoft .NET Framework")[/QUOTE]
У неё явно есть защита от работы на виртуалке.

[QUOTE=Alexey P.;182968]
У неё явно есть защита от работы на виртуалке.[/QUOTE]

вот блин, начинаем ломать моск, как спрятать виртуалку от вирусов, это мой основной инструмент для тестов!, предпологаемых зловредов.

ЗЫ офтоп, чет в последнее время опять уровень вирусов явно попер вверх, опять поставили на комерческие рельсы..., а судя по тому что у разных зловредов схожие имена и куски алгоритмов, то их генерируют каким-то хак-кряк-коммерческим пакетом

продолжение истории, походил по знакомым с флешкой.
дома глянул на нее а там новый зверь (опять новая версия)
в корне влешки только autorun.inf
и exe со случайным именем (в нем Trojan-PSW.Win32.OnLineGames. похоже запакованный так как антивири его не узнают пока не распакуется)
и самое обидное, что файлы которые выкладывал в этой теме Удалены!
[url]http://virusinfo.info/showpost.php?p=199992&postcount=45[/url]
(1.reg
2.reg
Ops.cmd)

чего там наменяли непонял, так как что на работе что дома amvo.exe у меня вываливается с ошибкой.

[QUOTE=Virtual;215669]и самое обидное, что файлы которые выкладывал в этой теме Удалены![/QUOTE]

если хотите поделиться вредоносными файлами, то для этого существует форма загрузки (приложение 3 правил [url]http://virusinfo.info/showthread.php?t=1235[/url] )

вы меня малость неправильно поняли:D
я выкладывал не вредоносные файлы, а набор для отключения автозапуска, который активировался через механизм авторана. так вот этот набор и был удален с флешки, зловредом!!!
тоесть одно из
. или вирусописатели этой дряни читают данную тему
. или троян "расковыривает" коммандный файл и удаляет все связанные файлы
. или еще чего.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=Shu_b;215678]если хотите поделиться вредоносными файлами, то для этого существует форма загрузки (приложение 3 правил [url]http://virusinfo.info/showthread.php?t=1235[/url] )[/QUOTE]

:O у меня нет привычки нарушать правила форума;)

[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]

упс. "набор для отключения автозапуска" также удален модераторами из темы:D:D:D:D:D

[QUOTE=Virtual;217770]вы меня малость неправильно поняли:D
я выкладывал не вредоносные файлы, а набор для отключения автозапуска, который активировался через механизм авторана. так вот этот набор и был удален с флешки, зловредом!!!
тоесть одно из
. или вирусописатели этой дряни читают данную тему
D[/QUOTE]

Враг не дремлет. ;) Не забывай об этом каждый раз, когда выкладываешь что-то на этот форум. Это не моя паранойя, это просто предупреждение.