Актуальные зловреды

Printable View

Показывать 40 сообщений этой темы на одной странице

05.01.2008, 15:00
AndreyKa

Актуальные зловреды

Trojan-PSW.Win32.OnLineGames.mze

Здесь и далее во всех заголовках сообщений имя по классификации антивируса Касперского.

[b]Алиасы[/b]
Packer.Malware.NSAnti.J (BitDefender)
VirTool:Win32/Obfuscator!Mal (Microsoft)
Troj/Lineag-Gen (Sophos)
Infostealer.Gampass (Symantec)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=15961[/url]
[url]http://virusinfo.info/showthread.php?t=15971[/url]
[url]http://virusinfo.info/showthread.php?t=16675[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
semo2x.exe и autorun.inf - на всех дисках в корневой папке

[b]Способ запуска[/b]
1. Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.

[b]Внешние проявления [/b](со слов пользователей)
Cкрытые файлы не показывает и диски при двойном клике открываются в новом окне.
06.01.2008, 17:41
AndreyKa

Trojan.Win32.Patched.bh

[b]Алиасы[/b]
Trojan.Patched.AU (BitDefender)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=15945[/url]
[url]http://virusinfo.info/showthread.php?t=15997[/url]
[url]http://virusinfo.info/showthread.php?t=15929[/url]
[url]http://virusinfo.info/showthread.php?t=16014[/url]
[url]http://virusinfo.info/showthread.php?t=16026[/url]
[url]http://virusinfo.info/showthread.php?t=16060[/url]
[url]http://virusinfo.info/showthread.php?t=16076[/url]
[url]http://virusinfo.info/showthread.php?t=16088[/url]
[url]http://virusinfo.info/showthread.php?t=16290[/url]
[url]http://virusinfo.info/showthread.php?t=17178[/url]

[b]Файлы на диске[/b]
Модифицированный (патченный) системный файл
C:\WINDOWS\system32\svchost.exe
[b]Этот файл нельзя удалять!!![/b]
Его нужно заменить на чистый:
1) Записать чистый svchost.exe в папку C:\WINDOWS\system32\dllcache, затерев существующий.
2) Переименовать файл C:\WINDOWS\system32\svchost.exe например в svchost.vir
3) Записать чистый svchost.exe в папку C:\WINDOWS\system32\
4) Перезагрузить компьютер.
Или вылечить антивирусом Касперского.

[b]Способ запуска[/b]
Запускается как системный файл, но в отличии от оригинального загружает библиотеку MSCORE.DLL в которой находится троян ( например Trojan.Win32.Small.yd )

[b]Внешние проявления [/b](со слов пользователей)
Исходящий траффик в два раза больше входящего.
Если удален файл MSCORE.DLL, то Windows при запуске задумывается на пару минут (индикатор диска при этом не горит) и загружается. Но все службы, связанные с svchost.exe не запускаются, не работает сеть.
06.01.2008, 18:20
AndreyKa

AdWare.Win32.BHO.cc и Trojan.Win32.ConnectionServices.e

[b]Алиасы[/b]
ADSPY/Bitaccel.A (AntiVir)
Adware Generic2.PHX (AVG)
Adware.Generic.9029 (BitDefender)
AdWare.BHO.cc (CAT-QuickHeal)
Adware.BHO-50 (ClamAV)
Adware.BitAcc (DrWeb)
W32/Adware.YIH (F-Prot)
Adware/BHO.L (Panda)
BitAccelerator (Sophos)
Adware.BHO.PW (VirusBuster)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=15520[/url]
[url]http://virusinfo.info/showthread.php?t=15997[/url]
[url]http://virusinfo.info/showthread.php?t=16014[/url]
[url]http://virusinfo.info/showthread.php?t=16094[/url]
[url]http://virusinfo.info/showthread.php?t=16128[/url]
[url]http://virusinfo.info/showthread.php?t=16315[/url]
[url]http://virusinfo.info/showthread.php?t=16551[/url]
[url]http://virusinfo.info/showthread.php?t=16814[/url]
[url]http://virusinfo.info/showthread.php?t=16980[/url]
[url]http://virusinfo.info/showthread.php?t=17187[/url]
[url]http://virusinfo.info/showthread.php?t=17315[/url]
[url]http://virusinfo.info/showthread.php?t=17588[/url]

[b]Файлы на диске[/b]
C:\Program Files\BitAccelerator\BitAccelerator.dll
C:\Program Files\BitAccelerator\BitAccelerator.exe

[b]Способ запуска[/b]
C:\Program Files\BitAccelerator\BitAccelerator.dll BHO {92860A02-4D69-48c1-82D7-EF6B2C609502}
07.01.2008, 02:57
AndreyKa

AdWare.Win32.BHO.ic

[b]Алиасы[/b]
ADSPY/Bho.IC.25 (AntiVir)
Adware Generic2.UFT (AVG)
Adware.BitAcc (DrWeb)
W32/Adware.AAQX (F-Prot)
Adware/BHO.L (Panda)
BitAccelerator (Sophos)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=15520[/url]
[url]http://virusinfo.info/showthread.php?t=16014[/url]
[url]http://virusinfo.info/showthread.php?t=16048[/url]
[url]http://virusinfo.info/showthread.php?t=16094[/url]
[url]http://virusinfo.info/showthread.php?t=16128[/url]
[url]http://virusinfo.info/showthread.php?t=16315[/url]
[url]http://virusinfo.info/showthread.php?t=16511[/url]
[url]http://virusinfo.info/showthread.php?t=16814[/url]
[url]http://virusinfo.info/showthread.php?t=16980[/url]
[url]http://virusinfo.info/showthread.php?t=17315[/url]
[url]http://virusinfo.info/showthread.php?t=17588[/url]
[url]http://virusinfo.info/showthread.php?t=18194[/url]

[b]Файлы на диске[/b]
C:\Program Files\BitAccelerator\BitAccelerator.dll

[b]Способ запуска[/b]
C:\Program Files\BitAccelerator\BitAccelerator.dll BHO {92860A02-4D69-48c1-82D7-EF6B2C609502}
07.01.2008, 03:05
AndreyKa

Trojan.Win32.ConnectionServices.m

[b]Алиасы[/b]
ADSPY/Bho.KJ (AntiVir)
Adware Generic2.VJU (AVG)
Adware.BitAcc (DrWeb)
W32/Adware.ZOK (F-Prot)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=15520[/url]
[url]http://virusinfo.info/showthread.php?t=16014[/url]
[url]http://virusinfo.info/showthread.php?t=16048[/url]
[url]http://virusinfo.info/showthread.php?t=16050[/url]
[url]http://virusinfo.info/showthread.php?t=16094[/url]
[url]http://virusinfo.info/showthread.php?t=16128[/url]
[url]http://virusinfo.info/showthread.php?t=16315[/url]
[url]http://virusinfo.info/showthread.php?t=16348[/url]
[url]http://virusinfo.info/showthread.php?t=16456[/url]
[url]http://virusinfo.info/showthread.php?t=16489[/url]
[url]http://virusinfo.info/showthread.php?t=16416[/url]
[url]http://virusinfo.info/showthread.php?t=16511[/url]
[url]http://virusinfo.info/showthread.php?t=16760[/url]
[url]http://virusinfo.info/showthread.php?t=16769[/url]
[url]http://virusinfo.info/showthread.php?t=16814[/url]
[url]http://virusinfo.info/showthread.php?t=16865[/url]
[url]http://virusinfo.info/showthread.php?t=17315[/url]
[url]http://virusinfo.info/showthread.php?t=17510[/url]
[url]http://virusinfo.info/showthread.php?t=17588[/url]

[b]Файлы на диске[/b]
C:\Program Files\ConnectionServices\ConnectionServices.dll

[b]Способ запуска[/b]
C:\Program Files\ConnectionServices\ConnectionServices.dll BHO {6D7B211A-88EA-490c-BAB9-3600D8D7C503}
07.01.2008, 13:32
AndreyKa

Trojan.Win32.KillAV.ne

[b]Алиасы[/b]
TR/Killav.NE (AntiVir)
Win32.Sector.4 (DrWeb)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16051[/url]
[url]http://virusinfo.info/showthread.php?t=16054[/url]
[url]http://virusinfo.info/showthread.php?t=16164[/url]
[url]http://virusinfo.info/showthread.php?t=16250[/url]
[url]http://virusinfo.info/showthread.php?t=16621[/url]
[url]http://virusinfo.info/showthread.php?t=16990[/url]
[url]http://virusinfo.info/showthread.php?t=17034[/url]

[b]Файлы на диске[/b]
Может быть в виде файлов с расширением sys или dll. Имена файлов, скорее всего, случайные:
C:\WINDOWS\System32\drivers\mnnphn.sys
C:\WINDOWS\system32\vg109974.dll

[b]Способ запуска[/b]
Драйвер: MCIDRV_2600_6_0 C:\WINDOWS\System32\drivers\mnnphn.sys (состояние: не запущен)

dll в запущенном состоянии детектируется AVZ:
С:\WINDOWS\system32\vg109974.dll>>> Нейросеть: файл с вероятностью 99.05% похож на типовой перехватчик событий клавиатуры/мыши
Источником этого трояна является файловый вирус.
Добавленны процедуры лечения этого вируса в антивирусы Касперского и DrWeb.
DrWeb детектирует зараженный файл как Win32.Sector.4
Антивирус Касперского детектирует зараженный файл как Virus.Win32.Sality.v

[b]Внешние проявления [/b](со слов пользователей)
Устанавливается в составе с другими вредоносными программами.
AVZ теперь после каждой перезагрузки совсем исчезает. Также удалился и CureIt!.
07.01.2008, 22:40
AndreyKa

Rootkit.Win32.Agent.sc

[b]Алиасы[/b]
Rkit/Agent.SC.1 (AntiVir)
BackDoor.Generic9.JSS (AVG)
W32/Agent.SC!tr.rkit (Fortinet)
VirTool:WinNT/Srizbi.A (Microsoft)
Rootkit/Agent.HOT (Panda)
Trojan/Agent.sc (TheHacker)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=15997[/url]
[url]http://virusinfo.info/showthread.php?t=16055[/url]

[b]Файлы на диске[/b]
Имя файла случайное, состоит из нескольких букв и цифр. Например:
C:\WINDOWS\system32\drivers\Fhy58.sys
C:\WINDOWS\system32\drivers\Kkt51.sys
C:\WINDOWS\system32\drivers\Qby41.sys
C:\WINDOWS\system32\drivers\symavc32.sys
C:\WINDOWS\system32\Drivers\Cof49.sys
Размер 139.5 КБ

[b]Способ запуска[/b]
Запускается как модуль пространства ядра.

[b]Внешние проявления [/b]
В списке процессов имеется iexplore.exe с пометкой маскировки процесса (User Mode RootKit).
При попытке лечения в нормальном режиме запуска Windows компьютер зависает с черным экраном.
Лечить следует в безопасном режиме.
07.01.2008, 23:04
Зайцев Олег

[quote=AndreyKa;168282][B]Алиасы[/B]
TR/Killav.NE (AntiVir)
Trojan.DownLoader.38489 (DrWeb)

[B]Встречен в темах[/B]
[URL]http://virusinfo.info/showthread.php?t=16051[/URL]
[URL]http://virusinfo.info/showthread.php?t=16054[/URL]

[B]Файлы на диске[/B]
Может быть в виде файлов с расширением sys или dll. Имена файлов, скорее всего, случайные:
C:\WINDOWS\System32\drivers\mnnphn.sys
C:\WINDOWS\system32\vg109974.dll

[B]Способ запуска[/B]
Драйвер: MCIDRV_2600_6_0 C:\WINDOWS\System32\drivers\mnnphn.sys (состояние: не запущен)

Способ запуска файла dll не ясен. Но в запущенном состоянии детектируется AVZ:
С:\WINDOWS\system32\vg109974.dll>>> Нейросеть: файл с вероятностью 99.05% похож на типовой перехватчик событий клавиатуры/мыши

[B]Внешние проявления [/B](со слов пользователей)
Устанавливается в составе с другими вредоносными программами.
AVZ теперь после каждой перезагрузки совсем исчезает. Также удалился и CureIt!.[/quote]

Это довольно злобная зараза. DLL дропает файл драйвера, дропается он в папку WINDOWS\System32\drivers, имя действительно изменяется. Драйвер регистрируется в реестре через штатное API, после регистрации он загружается. В драйвере хранится список имен фрагментов URL сайтов различных AV вендоров, список зашифрован. Задача драйвера - блокировать доступ к данным сайтам (если туда добавить virusinfo - пострадавший сюда не попадет). В самой DLL здоровенный список (зашифрованный) того, а с чем эта зараза может бороться ... в списке есть все распространенные антивирусы, Firewall и антитрояны, в частности там есть AVZ, AVP, DRWEB ... Борьба с антивирусами идет в два этапа - ведется попытка открытия служб по именам, при успешном открытии идет удаление. Это идет отдельным потоком ... другие потоки сканируют диски на предмет наличия файлов .VDB, .AVC, .KEY, .EXE, .SCR. При обнаружении принадлежащих антивирусам файлов зловред ведет их удаление. Пытается отключить UAC в Vista через реестр ... ведет обмен с сайтом в Инет
07.01.2008, 23:30
AndreyKa

Trojan-Downloader.Win32.Agent.ggt

[b]Алиасы[/b]
Generic9.AGXO (AVG)
Trojan.Kobcka.BY (BitDefender)
Trojan.Downloader-18735 (ClamAV)
BackDoor.Bulknet.112 (DrWeb)
Win32.Agent.ggt (eSafe)
Downloader.Agent.ggt (Ewido)
W32/Pushu.GGT!tr.dldr (Fortinet)
Generic.dx (McAfee)
VirTool:WinNT/Cutwail.F (Microsoft)
Win32/Wigon.AH (NOD32v2)
RootKit.Win32.Mnless.et (Rising)
Trojan-Downloader.Win32.Agent.gh (Sunbelt)
Trojan.Pandex (Symantec)
Trojan/Downloader.Agent.ggt (TheHacker)
Trojan.Wigon.C (VirusBuster)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=15476[/url]
[url]http://virusinfo.info/showthread.php?t=15608[/url]
[url]http://virusinfo.info/showthread.php?t=15660[/url]
[url]http://virusinfo.info/showthread.php?t=15989[/url]
[url]http://virusinfo.info/showthread.php?t=16060[/url]
[url]http://virusinfo.info/showthread.php?t=16202[/url]
[url]http://virusinfo.info/showthread.php?t=16213[/url]
[url]http://virusinfo.info/showthread.php?t=16257[/url]
[url]http://virusinfo.info/showthread.php?t=16509[/url]
[url]http://virusinfo.info/showthread.php?t=16595[/url]
[url]http://virusinfo.info/showthread.php?t=16852[/url]
[url]http://virusinfo.info/showthread.php?t=17455[/url]
[url]http://virusinfo.info/showthread.php?t=17707[/url]
[url]http://virusinfo.info/showthread.php?t=19242[/url]

[b]Файлы на диске[/b]
Имя файла случайное, состоит из трех букв и двух цифр. Например:
C:\WINDOWS\system32\drivers\Taf40.sys
C:\WINDOWS\System32\drivers\Cyb60.sys
размер 21760 байт.
Обычно, есть копия этого трояна в папке C:\WINDOWS

[b]Способ запуска[/b]
Драйвер: Cyb60 C:\WINDOWS\System32\Drivers\Cyb60.sys Группа: SCSI Class
(имя драйвера = имя файла)

[b]Внешние проявления [/b]
Файл с соответствующем именем в списках "Модули пространства ядра" и
Драйверы.
08.01.2008, 18:55
AndreyKa

Trojan-Downloader.Win32.Dirat.aw

[b]Алиасы[/b]
Infostealer.Gampass (Symantec)
Mal/Basine-C (Sophos)
Trj/ProxyServer.AS (Panda)
Trojan.Downloader-20037 (ClamAV)
Trojan.MulDrop.8347 (DrWeb)
Trojan.Proxy.Metro.D (BitDefender)
TrojanDownloader.Dirat.aw (CAT-QuickHeal)
W32/Basine.AW!tr.dldr (Fortinet)
W32/Downldr2.AUYI (F-Prot)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=15990[/url]
[url]http://virusinfo.info/showthread.php?t=16083[/url]

[b]Файлы на диске[/b]
c:\windows\system32\vhosts.exe
19968 байт
MD5=5C1321793E369D890695FECED14B1AAC
использует трояна в файле MSCORE.DLL

[b]Способ запуска[/b]
Служба msupdate "Microsoft security update service" c:\windows\system32\vhosts.exe
08.01.2008, 21:39
AndreyKa

Backdoor.Win32.Small.cbo

[b]Алиасы[/b]
BackDoor.Generic9.JSD (AVG)
Backdoor.Small.cbo (CAT-QuickHeal)
Generic.dx (McAfee)
Trojan.Perfcoo (Symantec)
Trojan.Proxy.1739 (DrWeb)
TrojanDownloader:Win32/Eldycow.gen!A (Microsoft)
W32/Backdoor2.DZB (F-Prot)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=15680[/url]
[url]http://virusinfo.info/showthread.php?t=16041[/url]
[url]http://virusinfo.info/showthread.php?t=16055[/url]
[url]http://virusinfo.info/showthread.php?t=16125[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\murka.dat
MD5=677C2CE46988695A7605B430DA399A38
6144 байт

[b]Способ запуска[/b]
C:\WINDOWS\murka.dat
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
08.01.2008, 21:56
AndreyKa

Hoax.Win32.Renos.aom

Идет в комплекте с [b]Trojan.Win32.Agent.dqz[/b] и [b]Backdoor.Win32.Small.cbo[/b]

[b]Алиасы[/b]
Aplicacion/Renos.aom (TheHacker)
Generic9.AJYI (AVG)
Hoax.Renos.aom (Not a Virus) (CAT-QuickHeal)
TR/Renos.4608.2 (AntiVir)
Trojan:Win32/Wantvi.B (Microsoft)
Win32/Eldycow.N (eTrust-Vet)
Win32/TrojanDownloader.FakeAlert.U (NOD32v2)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=15680[/url]
[url]http://virusinfo.info/showthread.php?t=16041[/url]
[url]http://virusinfo.info/showthread.php?t=16055[/url]
[url]http://virusinfo.info/showthread.php?t=16125[/url]
[url]http://virusinfo.info/showthread.php?t=16779[/url]

[b]Файлы на диске[/b]
exe файл в папке Windows, возможны различные имена.
c:\windows\medichi.exe
C:\WINDOWS\mustafx.exe
4608 байт

[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, Medichi (имя может быть другим)
В автозапуск также прописан файл с таким же именем + цифра 2 на конце.

[b]Внешние проявления [/b](со слов пользователей)
Предложение об установке spyware и появляется строка о копировании чего-то куда то .. Меняется время само по себе.
09.01.2008, 23:27
AndreyKa

Trojan-Spy.Win32.Banker.hbo

[b]Алиасы[/b]
Logger.Banker.hbo (Ewido)
PSW.Banker4.NBL (AVG)
TR/Spy.Banker.hbo (AntiVir)
Trojan-Spy.Banker.hbo (Sunbelt)
Trojan.Banker.Delf.YBG (BitDefender)
Trojan.PWS.Banker.14622 (DrWeb)
Trojan/Spy.Banker.hbo (TheHacker)
TrojanSpy.Banker.hbo (CAT-QuickHeal)
W32/Banker.BCCW (F-Prot)
W32/Banker.HBO!tr.spy (Fortinet)
Win32.Banker.hbo (eSafe)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16120[/url]
[url]http://virusinfo.info/showthread.php?t=16133[/url]
[url]http://virusinfo.info/showthread.php?t=16600[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\explorer.exe:submitter5.jpg
MD5=16DC64AD2DB4473405AA0631A72020D1
280064 байт
Это альтернативный поток системного файла. Не удаляйте C:\WINDOWS\explorer.exe !!!

[b]Способ запуска[/b]
?
Функционирует как модуль процесса c:\windows\explorer.exe

[b]Внешние проявления [/b](со слов пользователей)
Explorer.exe в процессах кушает 99% системных ресурсов, помогает только его закрытие и повторный запуск.

При сканировании диска AVZ обнаруживает:
c:\windows\explorer.exe:submitter5.jpg:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
11.01.2008, 00:39
AndreyKa

AdWare.Win32.Agent.zo

[b]Алиасы[/b]
ADSPY/Sert.A (AntiVir)
Adware Generic2.ZOB (AVG)
AdWare.Agent.zo (Not a Virus) (CAT-QuickHeal)
Trojan.Click.5043 (DrWeb)
Win32/TrojanDownloader.Small.NZG (NOD32v2)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=15997[/url]
[url]http://virusinfo.info/showthread.php?t=16125[/url]
[url]http://virusinfo.info/showthread.php?t=16150[/url]
[url]http://virusinfo.info/showthread.php?t=16290[/url]
[url]http://virusinfo.info/showthread.php?t=16727[/url]
[url]http://virusinfo.info/showthread.php?t=16779[/url]
[url]http://virusinfo.info/showthread.php?t=16856[/url]
[url]http://virusinfo.info/showthread.php?t=16979[/url]
[url]http://virusinfo.info/showthread.php?t=17562[/url]
[url]http://virusinfo.info/showthread.php?t=18363[/url]
[url]http://virusinfo.info/showthread.php?t=18610[/url]

[b]Файлы на диске[/b]
c:\windows\system32\users32.dat
16384 байт

[b]Способ запуска[/b]
Способ запуска не определен.
users32.dat функционирует как модуль одного из запущенных пользовательских процессов.
Устанавливается в составе многочисленных вредоносных программ.
11.01.2008, 01:09
Зайцев Олег

[quote=AndreyKa;170387][B]Алиасы[/B]
ADSPY/Sert.A (AntiVir)
Adware Generic2.ZOB (AVG)
AdWare.Agent.zo (Not a Virus) (CAT-QuickHeal)
Trojan.Click.5043 (DrWeb)
Win32/TrojanDownloader.Small.NZG (NOD32v2)

[B]Встречен в темах[/B]
[URL]http://virusinfo.info/showthread.php?t=15997[/URL]
[URL]http://virusinfo.info/showthread.php?t=16125[/URL]

[B]Файлы на диске[/B]
c:\windows\system32\users32.dat

[B]Способ запуска[/B]
Способ запуска не определен.
users32.dat функционирует как модуль одного из запущенных пользовательских процессов.
Устанавливается в составе многочисленных вредоносных программ.[/quote]

По показаниям приборов за его повление может отвечать Trojan-Dropper.Win32.Small.bdf, идентичное поведение у AdvWare.Win32.Agent.zb. Из базы анализатора по моему запросу была раскручена возможная цепочка действий дроппера - я советую хелперам присмотреться к драйверу WINDOWS\system32\drivers\beep.sys - с высокой степенью вероятности он подменен. Кроме того, на пораженном ПК стоит поискать файл WINDOWS\system32\dllcache\fuurod.sys. Известные разновидности блокируют антивирусы (avz в том числе) по именам исполняемых файлов.
11.01.2008, 02:43
AndreyKa

Rootkit.Win32.Agent.sv

[b]Алиасы[/b]
BackDoor.Generic9.LBM (AVG)
Generic.Zlob.96765D0B (BitDefender)
Rkit/Agent.SV (AntiVir)
Rootkit.Agent.sv (CAT-QuickHeal)
Trojan:Win32/Wantvi.D (Microsoft)
Trojan.Virantix.B (Symantec)
Trojan/Agent.sv (TheHacker)
W32/Agent.SV!tr.rkit (Fortinet)

[b]Описание[/b]
[url]http://www.symantec.com/security_response/writeup.jsp?docid=2007-122607-2738-99&tabid=2[/url] (анг.)
Как уже отметил [b]Зайцев Олег[/b] в предыдущем сообщении это один из нескольких файлов, устанавливаемых трояном дропером.
Пользователям, у которых антивирус нашел Rootkit.Win32.Agent.sv следует обратится в раздел [url=http://virusinfo.info/forumdisplay.php?f=46]Помогите[/url], так как, этот файл идет в комплекте с несколькими вредоносными программами и, возможно, не все из них детектируются вашим антивирусом.

[b]Встречен в теме[/b]
[url]http://virusinfo.info/showthread.php?t=16041[/url]
[url]http://virusinfo.info/showthread.php?t=16055[/url]
[url]http://virusinfo.info/showthread.php?t=16167[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\System32\Drivers\Beep.SYS
61440 байт.
MD5=CD7336CD26222FF6D1C7872DA7A43173

[b]Способ запуска[/b]
Подменяет собой системный драйвер с таким же именем и запускается вместо него.
12.01.2008, 18:42
AndreyKa

Rootkit.Win32.Agent.jp

[b]Алиасы[/b]
BackDoor.Generic8.TNU (AVG)
Rootkit.Agent.jp (Ewido)
Rootkit/Spammer.AEL (Panda)
Spy-Agent.bv.sys (McAfee)
TR/Rootkit.Gen (AntiVir)
Troj/RKRun-Gen (Sophos)
Trojan:WinNT/Cutwail.A!sys (Microsoft)
Trojan.Kobcka.AY (BitDefender)
Trojan.NtRootKit.422 (DrWeb)
Trojan.Pandex (Symantec)
Trojan.Rootkit-235 (ClamAV)
Virus.Win32.Small.EPJ (Ikarus)
W32/Agent.DPE!tr.rkit (Fortinet)
W32/Rootkit.AFW (F-Prot)
Win32:Small-EPJ (Avast)
Win32/Rootkit.Agent.EY (NOD32v2)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16077[/url]
[url]http://virusinfo.info/showthread.php?t=16126[/url]
[url]http://virusinfo.info/showthread.php?t=16213[/url]
[url]http://virusinfo.info/showthread.php?t=16276[/url]
[url]http://virusinfo.info/showthread.php?t=17187[/url]
[url]http://virusinfo.info/showthread.php?t=18296[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\drivers\runtime2.sys

[b]Способ запуска[/b]
Служба runtime2

[b]Внешние проявления [/b]
В списке "Модули пространства ядра" присутствует файл
C:\WINDOWS\system32\drivers\runtime2.sys
Перехватывает функции:
NtDeleteValueKey
NtEnumerateKey
NtEnumerateValueKey
NtOpenKey
NtSetValueKey

На компьютере в папке C:\WINDOWS\Temp присутствует вредоносный файл startdrv.exe (Trojan.Win32.Pakes.bqb).
12.01.2008, 19:47
AndreyKa

Trojan-Spy.Win32.Broker.ap

[b]Алиасы[/b]
Infostealer.Banker.C (Symantec)
PSW.Generic5.AFBZ (AVG)
PWS:Win32/Bankrypt.gen (Microsoft)
TR/Spy.Broker.ap (AntiVir)
Trj/Sinowal.HM (Panda)
Trojan.Proxy.2486 (DrWeb)
Trojan.Spy.Brokrypt.A (BitDefender)
Trojan.Zbot-159 (ClamAV)
Trojan/Spy.Broker.ao (TheHacker)
TrojanSpy.Broker.ap (CAT-QuickHeal)
W32/Agent.BRW!tr (Fortinet)
W32/Banker.CEEY (Norman)
W32/Trojan2.TRP (F-Prot)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16051[/url]
[url]http://virusinfo.info/showthread.php?t=16112[/url]
[url]http://virusinfo.info/showthread.php?t=16621[/url]

[b]Описание[/b]
Похищает ценную информацию с зараженного компьютера.
Внедряет свой код во все процессы кроме CSRSS.EXE
Удаляет cookies в кеше Internet Explorer для того чтобы пользователям пришлось заново вводить пароли когда они входят на сайты банков.
Считывает пароли из защищенного хранилища.
Может выполнять следующие действия:
- перехватывать сетевой трафик;
- перехватывать ввод с клавиатуры;
- считывать информацию из буфера Windows;
- захватывать изображение с экрана;
- перенаправлять сетевой трафик.
- загружать собранную информацию на удаленный сайт по FTP протоколу.

[url]http://www.symantec.com/security_response/writeup.jsp?docid=2007-040208-5335-99&tabid=2[/url] (англ.)

[b]Файлы на диске[/b]
C:\WINDOWS\System32\ntos.exe

[b]Способ запуска[/b]
Ключи реестра
HKEY_USERS
.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, userinit
HKEY_LOCAL_MACHINE
Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
12.01.2008, 21:24
AndreyKa

AdWare.Win32.Agent.yz

[b]Алиасы[/b]
ADSPY/Agent.YZ (AntiVir)
Adware Generic2.ZJH (AVG)
AdWare.Agent.yz (Not a Virus) (CAT-QuickHeal)
AdWare.Win32.Agent.y (eSafe)
Adware/Agent.yz (TheHacker)
Mal/Behav-119 (Sophos)
Trojan.Agent.AGHG (BitDefender)
Trojan.DownLoader.38353 (DrWeb)
W32/Heuristic-KPP!Eldorado (F-Prot)
Win32:Agent-PCI (Avast)

[b]Описания[/b]
Загружает и запускает вредоносные программы, расположенные на веб-сайте.
Для обхода файрвола внедряет свой код в процессы такие как Internet Explorer.

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16076[/url]
[url]http://virusinfo.info/showthread.php?t=16167[/url]
[url]http://virusinfo.info/showthread.php?t=16979[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\windsk.dll
15872 байт

[b]Способ запуска[/b]
Запускается другой вредоносной программой, предположительно Rootkit.Win32.Agent.sv
Работает как модуль процессов explorer.exe и iexplore.exe
12.01.2008, 23:49
AndreyKa

Rootkit.Win32.Agent.ql

[b]Алиасы[/b]
Rootkit.Agent.ql (CAT-QuickHeal)
Rootkit.Win32.Agent.tw (F-Secure)
Trojan.NtRootKit.511 (DrWeb)
Trojan.Rootkit.Agent.NDW (BitDefender)
W32/Rootkit.AHL (F-Prot)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16155[/url]
[url]http://virusinfo.info/showthread.php?t=16189[/url]

[b]Файлы на диске[/b]
У файла случайное имя из букв, расширение dat, находится в папке C:\WINDOWS\system32\Drivers
Например:
C:\WINDOWS\system32\Drivers\ovtgjscc.dat
C:\WINDOWS\system32\Drivers\uucxtlmr.dat
19456 байт

[b]Способ запуска[/b]
Драйвер со случайным именем, отличным от имени файла.
Группа: Boot Bus Extender
Работает как модуль пространства ядра.

[b]Внешние проявления [/b]
AVZ в логе лечения выдает сообщение:
>>>> Подозрение на RootKit glvkqfgf C:\WINDOWS\system32\drivers\uucxtlmr.dat
13.01.2008, 00:42
AndreyKa

Trojan-Downloader.Win32.Agent.hbs

[b]Алиасы[/b]
Downloader.Agent.hbs (Ewido)
Downloader.Agent.ZQF (AVG)
TR/Dldr.Agent.hbs.8 (AntiVir)
Trojan.DownLoader.39204 (DrWeb)
Trojan.Downloader.Agent.YZD (BitDefender)
Trojan/Downloader.Agent.hbs (TheHacker)
TrojanDownloader.Agent.hbs (CAT-QuickHeal)
VirTool:WinNT/Cutwail.F (Microsoft)
Win32/Wigon.AJ (NOD32v2)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16202[/url]
[url]http://virusinfo.info/showthread.php?t=16213[/url]
[url]http://virusinfo.info/showthread.php?t=16257[/url]
[url]http://virusinfo.info/showthread.php?t=18302[/url]

[b]Файлы на диске[/b]
Имя файла случайное, состоит из трех букв и двух цифр. Например:
C:\WINDOWS\System32\Drivers\Tbi07.sys
C:\WINDOWS\system32\Drivers\Hnr04.sys
размер 24832 байт.

[b]Способ запуска[/b]
Драйвер: Tbi07 C:\WINDOWS\System32\Drivers\Tbi07.sys Группа: SCSI Class
(имя драйвера = имя файла)

[b]Внешние проявления [/b]
Файл с соответствующем именем с списках "Модули пространства ядра" и
Драйверы.
13.01.2008, 02:32
AndreyKa

Trojan.Win32.Agent.dur

[b]Алиасы[/b]
BehavesLike:Win32.ExplorerHijack (BitDefender)
Covert.Code (Prevx1)
Mal/Behav-150 (Sophos)
SHeur.ALGN (AVG)
Trj/Agent.HQV (Panda)
Trojan.Agent.dur (CAT-QuickHeal)
W32/Smalltroj.BVJU (Norman)
Win-Trojan/Agent.25600.CY (AhnLab-V3)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16229[/url]
[url]http://virusinfo.info/showthread.php?t=16236[/url]

[b]Файлы на диске[/b]
c:\windows\system32\svchost.exe:ext.exe:$DATA
Это альтернативный поток системного файла. Не удаляйте C:\WINDOWS\system32\svchost.exe !!!
25600 байт

[b]Способ запуска[/b]
Служба FCI C:\WINDOWS\system32\svchost.exe:ext.exe

[b]Внешние проявления [/b]
При сканировании диска AVZ выдает в лог сообщение:
c:\windows\system32\svchost.exe:ext.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
13.01.2008, 19:16
AndreyKa

Trojan-Downloader.Win32.Bensorty.fu

[b]Алиасы[/b]
Downloader.Generic6.ADBR (AVG)
TR/Dldr.Bensorty.FU.1 (AntiVir)
Trojan.DL.Small.uei (Rising)
Trojan.DownLoader.38509 (DrWeb)
Trojan/Downloader.Bensorty.fu (TheHacker)
Win32/TrojanDownloader.Small.NTQ (NOD32v2)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16275[/url]
[url]http://virusinfo.info/showthread.php?t=16297[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\hg543fdg.dll
MD5=19AC498EDA5FEF62437072CABD1540C2
10000 байт

[b]Способ запуска[/b]
O2 - BHO: C:\WINNT\system32\hg543fdg.dll - {B2AC49A2-94F3-42BD-F434-2604812C897D} - C:\WINNT\system32\hg543fdg.dll

[b]Внешние проявления[/b]
Отсутсвует в логе AVZ, хотя в базе безопасных не значится.
15.01.2008, 02:17
AndreyKa

AdWare.Win32.Virtumonde.dnl

Переименован в Packed.Win32.Monder.gen, а затем в Trojan.Win32.Monder.gen

[b]Алиасы[/b]
AdWare.Virtumonde.djl (Not a Virus) (CAT-QuickHeal)
Adware.Vundo.V.Gen (VirusBuster)
Adware/Virtumonde.bio (TheHacker)
Lop (AVG)
TR/Vundo.dvc.5 (AntiVir)
Troj/Virtum-Gen (Sophos)
Trojan:Win32/Vundo.gen!A (Microsoft)
Trojan.Juan.29 (DrWeb)
Trojan.Win32.Undef.bff (Rising)
W32/Virtumonde.G.gen!Eldorado (F-Prot)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16324[/url]
[url]http://virusinfo.info/showthread.php?t=16362[/url]

[b]Файлы на диске[/b]
Файлы dll со случайными именами в папке C:\WINDOWS\system32

[b]Способ запуска[/b]
Модуль расширения Internet Explorer BHO
CLSID случайный

[b]Признаки[/b]
Модуль dll с подозрительным именем у безопасных процессов таких как:
c:\windows\explorer.exe
c:\windows\system32\lsass.exe
+ соответствующий модуль расширения Internet Explorer BHO
15.01.2008, 02:47
AndreyKa

Trojan-Proxy.Win32.Wopla.at

[b]Алиасы[/b]
Proxy.XKA (AVG)
Rkit/Agent.EZ (AntiVir)
Trojan Horse (Symantec)
Trojan.Proxy.Wopla.AO (BitDefender)
TrojanProxy.Wopla.at (CAT-QuickHeal)
Win32:Agent-JBL (Avast)
Win32/TrojanProxy.Wopla.AT (NOD32v2)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16250[/url]
[url]http://virusinfo.info/showthread.php?t=16334[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\Drivers\ndisaluo.sys
C:\WINDOWS\system32\Drivers\ntio922.sys
C:\NETHLPR.EXE

[b]Способ запуска[/b]
?

[b]Признаки [/b]
В пункте 1.3 лога AVZ сообщения:
>>>> Подозрение на RootKit ndisaluo C:\WINDOWS\system32\Drivers\ndisaluo.sys
>>>> Подозрение на RootKit ntio922 C:\WINDOWS\system32\Drivers\ntio922.sys
15.01.2008, 09:18
Зайцев Олег

[quote=AndreyKa;172260]
[B]Признаки [/B]
В пункте 1.3 лога AVZ сообщения:
>>>> Подозрение на RootKit ndisaluo C:\WINDOWS\system32\Drivers\ndisaluo.sys
>>>> Подозрение на RootKit ntio922 C:\WINDOWS\system32\Drivers\ntio922.sys[/quote]
Результаты запроса к моей базе - зловред еще дропает файл C:\NETHLPR.EXE (Trojan-Proxy.Win32.Wopla.at). Идентичное поведение у зловреда Trojan-Proxy.Win32.Wopla.aw. Дроппер зловреда активирует привилегию SeDebugPrivilege, обращается к \Device\PhysicalMemory - такое поведение характерно для зловредов, снимающих хуки драверов защитного ПО.
16.01.2008, 01:11
AndreyKa

Virus.Win32.Xorer.dr

[b]Алиасы[/b]
Generic9.APEN (AVG)
TR/Fujacks.A.1 (AntiVir)
Trojan.Rox (DrWeb)
Virus:Win32/Xorer.A (Microsoft)
W32.Pagipef.I!inf (Symantec)
W32/Fujacks (McAfee)
W32/Smalltroj.CFJY (Norman)
Win32:Agent-PPS (Avast)

[b]Краткое описание[/b]
При запуске создает несколько своих копий, прописывает себя в автозапуск.
Записывает на диск несколько вредоносных файлов, таких как:
Virus.Win32.Xorer.dd
Virus.Win32.Xorer.df
Virus.Win32.Xorer.dp
Копирует себя на съемные диски, прописывая в автозапуск через файл AUTORUN.INF
Судя по наличию в его файле строк с названиями антивирусов, Virus.Win32.Xorer.dr пытается активно противодействовать им.

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16439[/url]

[b]Файлы на диске[/b]
c:\pagefile.pif
C:\NetApi00.sys
C:\037589.log
C:\AUTORUN.INF
C:\lsass.exe.48247687.exe
C:\WINDOWS\system32\com\smss.exe
C:\WINDOWS\system32\com\netcfg.000
C:\WINDOWS\system32\com\netcfg.dll
C:\WINDOWS\system32\com\lsass.exe
C:\WINDOWS\system32\dnsq.dll
Некоторые имена случайны.

[b]Способ запуска[/b]
1. Прописывает запуск через файл AUTORUN.INF в корне основного и съемных дисков.
2. Записывает свои копии в меню автозапуска:
...\Главное меню\Программы\Автозагрузка\~.exe.49425375.exe
3. O20 - AppInit_DLLs: C:\WINDOWS\system32\dnsq.dll
17.01.2008, 01:37
AndreyKa

Email-Worm.Win32.Agent.l

[b]Алиасы[/b]
BackDoor.Generic_c.AEW (AVG)
Generic.dx (McAfee)
I-Worm.Agent.l (CAT-QuickHeal)
TR/Pandex.L.2 (AntiVir)
Trj/Spammer.ADX (Panda)
Troj/Agent-GDR (Sophos)
Trojan.NtRootKit.360 (DrWeb)
Trojan.Pandex.L (BitDefender)
VirTool:WinNT/Cutwail.D (Microsoft)
W32/Agent.L@mm (Fortinet)
W32/Smallworm.AEH (Norman)
W32/Trojan.BXQV (F-Prot)
Win32:Agent-LNK (Avast)
Win32.Agent.l (eSafe)
Win32/Agent.NBT (NOD32v2)
Win32/Agent.worm.114480 (AhnLab-V3)
Win32/Cutspeer.A (eTrust-Vet)
Worm.Agent.l (Ewido)
Worm.Mail.Win32.Agent.mc (Rising)

[b]Примечание[/b]
Появился почти полгода назад. Его знают все антивирусы, но он все еще попадается в диком виде!
Возможна связь с Trojan-Downloader.Win32.Agent.ggt

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=15929[/url]
[url]http://virusinfo.info/showthread.php?t=16444[/url]
[url]http://virusinfo.info/showthread.php?t=16595[/url]
[url]http://virusinfo.info/showthread.php?t=16602[/url]
[url]http://virusinfo.info/showthread.php?t=16748[/url]
[url]http://virusinfo.info/showthread.php?t=16796[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\DRIVERS\smtpdrv.sys
18176 байт
MD5=5A5A869F4343A5C4057DA597FFFA3482

[b]Способ запуска[/b]
Драйвер smtpdrv C:\WINDOWS\system32\DRIVERS\smtpdrv.sys
Группа: Streams Drivers
17.01.2008, 02:03
AndreyKa

Trojan.Win32.Obfuscated.mp

[b]Алиасы[/b]
Generic.Zlob.80ABF7BE (BitDefender)
Generic9.AJXX (AVG)
TR/Obfuscated.MP (AntiVir)
Trojan-Downloader.Zlob.Media-Codec (Sunbelt)
Trojan:Win32/Wantvi.D (Microsoft)
Trojan.NtRootKit.612 (DrWeb)
Trojan.Obfuscated.mp (CAT-QuickHeal)
Trojan.Virantix.B (Symantec)
Trojan/Obfuscated.mp (TheHacker)
W32/Obfuscated.MP!tr (Fortinet)
W32/Trojan2.TCK (F-Prot)
Win32.Obfuscated.mp (eSafe)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=15680[/url]
[url]http://virusinfo.info/showthread.php?t=16221[/url]
[url]http://virusinfo.info/showthread.php?t=16779[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\System32\Drivers\Beep.SYS
37888 байт.

[b]Способ запуска[/b]
Подменяет собой системный драйвер с таким же именем и запускается вместо него.
17.01.2008, 22:27
AndreyKa

AdWare.Win32.Agent.yw

[b]Алиасы[/b]
ADSPY/Agent.YW.2 (AntiVir)
Adware Generic2.ZKE (AVG)
AdWare.Agent.yw (Not a Virus) (CAT-QuickHeal)
Adware.Bho (DrWeb)
Not-A-Virus.Adware.Agent (Ewido)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16050[/url]
[url]http://virusinfo.info/showthread.php?t=16348[/url]
[url]http://virusinfo.info/showthread.php?t=16381[/url]
[url]http://virusinfo.info/showthread.php?t=18620[/url]

[b]Файл на диске[/b]
C:\Program Files\ContentSaver\ContentSaver.dll
118784 байт

[b]Способ запуска[/b]
C:\Program Files\ContentSaver\ContentSaver.dll BHO {29F340EA-2108-40d0-94A0-62EC2B9EDF59}

[b]Особенности[/b]
Можно удалять через Панель управления - Установка/Удаление программ.
18.01.2008, 01:09
AndreyKa

Rootkit.Win32.Agent.tc

[b]Алиасы[/b]
BackDoor.Generic9.MOG (AVG)
Generic RootKit.a (McAfee)
Rkit/Agent.TC (AntiVir)
RootKit.A!tr (Fortinet)
Rootkit.Agent.tc (CAT-QuickHeal)
Rootkit/Lanman.BR (Panda)
Trojan.LanMan (DrWeb)
Trojan/Agent.tc (TheHacker)
VirTool:WinNT/Laqma.A (Microsoft)
W32/Rootkit.CDH (Norman)

[b]Краткое описания[/b]
Функционирует как модуль пространства ядра.
Перехватывает несколько функций в KernelMode.
Встречался в паре с c:\windows\system32\lanmanwrk.exe - Trojan.Win32.Agent.dwq

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=12434[/url]
[url]http://virusinfo.info/showthread.php?t=16319[/url]
[url]http://virusinfo.info/showthread.php?t=16400[/url]
[url]http://virusinfo.info/showthread.php?t=16494[/url]
[url]http://virusinfo.info/showthread.php?t=17302[/url]
[url]http://virusinfo.info/showthread.php?t=17440[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\System32\lanmandrv.sys
MD5=B5EC5B3E0BC6B26BB05282B65AF90686
5632 байт

[b]Способ запуска[/b]
Драйвер: lanmandrv C:\WINDOWS\System32\lanmandrv.sys
19.01.2008, 23:35
AndreyKa

AdWare.Win32.Virtumonde.dnn

Переименован в Packed.Win32.Monder.gen

[b]Алиасы[/b]
AdWare.Virtumonde.dnn (CAT-QuickHeal)
Generic9.AQNO (AVG)
Spyware/Virtumonde (Panda)
TR/Vundo.DWB (AntiVir)
Troj/Virtum-Gen (Sophos)
Trojan.Metajuan (Symantec)
Trojan.Virtumod.260 (DrWeb)
Trojan.Vundo.DWB (BitDefender)
W32/Virtumonde.G.gen!Eldorado (F-Prot)
W32/Virtumonde.JTK (Norman)
Win32/Adware.SecToolbar (NOD32v2)

[b]Описание[/b]
Рекламная программа, показывающая всплывающие сообщения.
Функционирует как модуль сразу нескольких процессов.
Встречается вместе с другими представителями семейства AdWare.Win32.Virtumonde.
Экземпляры файлов отличаются друг от друга приписанным в конце файла случайным набором чисел.

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16362[/url]
[url]http://virusinfo.info/showthread.php?t=16466[/url]
[url]http://virusinfo.info/showthread.php?t=16496[/url]
[url]http://virusinfo.info/showthread.php?t=17108[/url]

[b]Файлы на диске[/b]
Файл dll со случайным именем из букв в папке C:\WINDOWS\system32
163904 байт

[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\_имя_файла_
+
BHO {A95B2816-1D7E-4561-A202-68C0DE02353A}
20.01.2008, 01:01
AndreyKa

Trojan.Win32.Agent.dxg

[b]Алиасы[/b]
Agent.2.AN (AVG)
Mal/Behav-150 (Sophos)
Trojan.Agent.dxg (Ewido)
Trojan.Spambot.2572 (DrWeb)
Trojan/Agent.dxg (TheHacker)
W32/Agent.DXG!tr (Fortinet)
W32/Smalltroj.CFKI (Norman)
W32/Trojan2.TZE (F-Prot)
Win-Trojan/Agent.25600.DD (AhnLab-V3)
Win32/Obfuscated.NAL (NOD32v2)
Win32/SillyProxy.BQ (eTrust-Vet)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16416[/url]
[url]http://virusinfo.info/showthread.php?t=16437[/url]
[url]http://virusinfo.info/showthread.php?t=16491[/url]
[url]http://virusinfo.info/showthread.php?t=16446[/url]
[url]http://virusinfo.info/showthread.php?t=16601[/url]

[b]Файлы на диске[/b]
Может быть как в виде exe файла:
C:\WINDOWS\system32\fci.exe
Так и в виде альтернативного потока системного файла:
C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA
[b]Не удаляйте файл C:\WINDOWS\system32\svchost.exe !!![/b]
25600 байт
MD5=01EA113361CC3ACC160930D8918FC682

[b]Способ запуска[/b]
Служба FCI C:\WINDOWS\system32\fci.exe
Группа: TDI

[b]Внешние проявления [/b](со слов пользователей)
Много трафика идет. svchost.exe создает много подключений по SMTP.
Периодически с компьютера отправляют сообщения по электронной почте.
20.01.2008, 16:24
AndreyKa

Worm.Win32.AutoRun.bnq

[b]Алиасы[/b]
[b]amvo.exe:[/b]
PWS-OnlineGames.a (McAfee)
SHeur.SHW (Prevx1)
Trojan.PWS.OnlineGames.NXF (BitDefender)
W32.Gammima.AG (Symantec)
W32/AutoRun.BDA (Norman)
W32/AutoRun.bnq (TheHacker)
W32/AutoRun.BNQ!worm (Fortinet)
W32/Autorun.LD.worm (Panda)
W32/Worm.LZX (F-Prot)
Win-Trojan/OnlineGameHack.103956 (AhnLab-V3)
Win32:AutoRun-MH (Avast)
Win32.AutoRun.bnq (eSafe)
Win32.HLLW.Autoruner.1020 (DrWeb)
Win32.Packed.NSAnti.r (CAT-QuickHeal)
Win32/Frethog.AGF (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Worm/AutoRun.Y (AVG)
[b]amvo0.dll:[/b]
OnlineGames.A!tr.pws (Fortinet)
PWS-OnlineGames.a (McAfee)
Trojan.PWS.OnlineGames.NXF (BitDefender)
Trojan.PWS.Wsgame.2387 (DrWeb)
W32/AutoRun.BDE (Norman)
W32/AutoRun.bnq (TheHacker)
W32/Autorun.LD.worm (Panda)
Win-Trojan/OnlineGameHack.54784.B (AhnLab-V3)
Win32/Frethog.AGF (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16117[/url]
[url]http://virusinfo.info/showthread.php?t=16151[/url]
[url]http://virusinfo.info/showthread.php?t=16597[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
autorun.inf в корневой папке на всех дисках.
В нем прописан файл u.bat (имя файла может быть другим) для автозапуска.
u.bat имеет атрибуты скрытый, системный, только для чтения.
Для сокрытия присутствия используется руткит, работающий в режиме ядра - C:\WINDOWS\system32\wincab.sys Его файл после запуска удаляется с диска.

[b]Способ запуска[/b]
1. C:\WINDOWS\system32\amvo.exe Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Прописывает запуск через файл AUTORUN.INF в корне основного и съемных дисков.

[b]Внешние проявления [/b](со слов пользователей)
Не показывает скрытые файлы и папки. Локальные диски открывает в новом окне.
20.01.2008, 22:23
AndreyKa

Virus.Win32.Sality.v

[b]Алиасы[/b]
Win32/Sality.AB (NOD32v2)
Virus:Win32/Sality.AH (Microsoft)
W32.Sality.AB (Symantec)
W32/Kashu.A (AntiVir)
W32/Sality-AM (Sophos)
W32/Sality.ad (McAfee)
W32/Sality.AE (F-Prot)
Win32.Kashu.A (BitDefender)
Win32.Sector.4 (DrWeb)
Win32/Kashu (AhnLab-V3)
Win32/Sality.V (eTrust-Vet)

[b]Описание[/b]
Файловый вирус. Распространяется путем заражения исполняемых файлов (.exe и .scr). Пытается загрузить вредоносные файлы через Интернет.
[url]http://www.symantec.com/security_response/writeup.jsp?docid=2008-011120-5334-99[/url] (англ.)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16621[/url]
и в темах [url=http://virusinfo.info/showpost.php?p=168282&postcount=6]Trojan.Win32.KillAV.ne[/url]

[b]Внешние проявления [/b](со слов пользователей)
Компьютер не может загрузится в Безопасном режиме.
Работа антивирусов нарушается, антивирусы удаляются.
20.01.2008, 22:41
Зайцев Олег

[quote=AndreyKa;173478]
[b]Email-Worm.Win32.Agent.l[/b]
...
Возможна связь с Trojan-Downloader.Win32.Agent.ggt
[/quote]
Доп. данные из моих баз - в частности его дропает одноименный зловред [b]Email-Worm.Win32.Agent.l[/b] по классификации ЛК. Он создает файл C:\WINDOWS\system32\drivers\smtpdrv.sys (Email-Worm.Win32.Agent.l по ЛК), а также C:\WINDOWS\system32\MailSpectre.exe (Trojan.Win32.Agent.bap по ЛК), после чего регистрирует драйвер под именем smtpdrv и включает в группу "Streams Drivers" - т.е. поведение в точности совпадает с описанным выше. Исполняемый файл данного зловреда, выступающий в роли дроппера, имеет размер 155 кб, программный код написан на C, не зашифрован, дропаемые файлы приписаны в хвост дроппера. Trojan.Win32.Agent.bap в свою очередь в ходе работы обращается к драйверу smtpdrv.sys, что доказывает их взаимосвязь
21.01.2008, 23:52
AndreyKa

Trojan-Spy.Win32.Broker.as

[b]Алиасы[/b]
Downloader.Agent.AACP (AVG)
PWS:Win32/Zbot (Microsoft)
Trojan-Spy.Win32.Broker.as (Kaspersky)
Trojan.Proxy.2634 (DrWeb)
Trojan.Spy.Broker.N (BitDefender)
Trojan/Spy.Broker.as (TheHacker)
W32/Malware.BOKQ (Norman)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16595[/url]
[url]http://virusinfo.info/showthread.php?t=16626[/url]
[url]http://virusinfo.info/showthread.php?t=16656[/url]
[url]http://virusinfo.info/showthread.php?t=16757[/url]
[url]http://virusinfo.info/showthread.php?t=16895[/url]
[url]http://virusinfo.info/showthread.php?t=17214[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\ntos.exe

[b]Способ запуска[/b]
C:\WINDOWS\system32\ntos.exe
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit

[b]Примечание[/b]
Представитель этого семейства с описанием: [url=http://virusinfo.info/showpost.php?p=171235&postcount=18]Trojan-Spy.Win32.Broker.ap[/url]
22.01.2008, 22:19
AndreyKa

Rootkit.Win32.Agent.tw

[b]Алиасы[/b]
BackDoor.Generic9.NNL (AVG)
Rootkit.Agent.ql (CAT-QuickHeal)
Trojan.NtRootKit.511 (DrWeb)
Trojan.Rootkit.Agent.NDW (BitDefender)
VirTool:WinNT/Boaxxe.E (Microsoft)
W32/Rootkit.AHL (F-Prot)
W32/Rootkit.CNC (Norman)
Win32:Agent-PSI (Avast)
Win32/Agent.NOU (NOD32v2)
Win32/Kvol.Q (eTrust-Vet)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=12434[/url]
[url]http://virusinfo.info/showthread.php?t=16594[/url]
[url]http://virusinfo.info/showthread.php?t=16667[/url]
[url]http://virusinfo.info/showthread.php?t=17254[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\Drivers\*.dat
* - 8 случайных латинских букв
19456 байт

[b]Способ запуска[/b]
Драйвер. Его имя тоже случайное и отличается от имени файла.
Группа: Boot Bus Extender
Работает как Модуль пространства ядра.
22.01.2008, 22:36
AndreyKa

Trojan.Win32.BHO.agz

[b]Алиасы[/b]
BZub.ARU (Norman)
Generic9.AJIO (AVG)
TR/BHO.agz.21 (AntiVir)
Trj/Downloader.RKS (Panda)
Troj/BHO-EL (Sophos)
Trojan:Win32/Boaxxe.C (Microsoft)
Trojan.Adclicker (Symantec)
Trojan.BHO-1253 (ClamAV)
Trojan.BHO.agz (Ewido)
Trojan.DoS.Win32.Opdos (Prevx1)
Trojan.DownLoader.38058 (DrWeb)
Trojan.Spy.Bzub.NGP (BitDefender)
Trojan/BHO.agz (TheHacker)
W32/BHO.AGZ!tr (Fortinet)
Win32:BHO-KD (Avast)
Win32/BHO.AGZ (NOD32v2)
Win32/Kvol!generic (eTrust-Vet)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=12434[/url]
[url]http://virusinfo.info/showthread.php?t=16189[/url]
[url]http://virusinfo.info/showthread.php?t=16667[/url]

[b]Файлы на диске[/b]
dll файл со случайным именем из латинских букв в папке c:\windows\system32
Встречается вместе с Rootkit.Win32.Agent.tw (см. выше).

[b]Способ запуска[/b]
BHO, CLSID - случайный
25.01.2008, 00:47
AndreyKa

Worm.Win32.AutoRun.bur

[b]Алиасы[/b]
[b]amvo.exe[/b]
Trj/Wow.SE (Panda)
Trojan.Dropper.OnlineGames.I (BitDefender)
Trojan.MulDrop.6474 (DrWeb)
Trojan.Win32.AVKiller (VBA32)
W32.Gammima.AG (Symantec)
W32/Autorun-AQ (Sophos)
W32/AutoRun.bur (TheHacker)
W32/AutoRun.BUR!worm (Fortinet)
W32/Autorun.worm.bn (McAfee)
W32/Smalltroj.CIGU (Norman)
Win32.Packed.NSAnti.r (CAT-QuickHeal)
Win32/Autorun.worm.104863 (AhnLab-V3)
Win32/Frethog.AGS (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Worm/Generic.FHX (AVG)

[b]eaxbit.dll & amvo0.dll[/b]
BHO.CYR, PSW.OnlineGames.ABQN (AVG)
Trj/Wow.SE (Panda)
Trojan.Agent.AGPW, Trojan.PWS.OnlineGames.NYX (BitDefender)
Trojan.Legmir.A (Prevx1)
Trojan.Nsanti.Packed, Trojan.PWS.Wsgame.2387 (DrWeb)
Trojan.Small-1780 (ClamAV)
W32.Gammima.AG (Symantec)
W32/Autorun-AQ (Sophos)
W32/AutoRun.AQ!worm (Fortinet)
W32/AutoRun.bur (TheHacker)
W32/Autorun.worm.bn (McAfee)
W32/Smalltroj.CIGR, W32/Smalltroj.CIUP (Norman)
Win-Trojan/OnlineGameHack.54784.F (AhnLab-V3)
Win32/NSAnti, Win32/VMalum.BUVZ (eTrust-Vet)
Win32/PSW.OnLineGames.NLK, Win32/Rootkit.Vanti.NAI (NOD32v2)
Worm.AutoRun.bur (CAT-QuickHeal)

[b]Описание[/b]
Червь распространяющийся копированием самого себя на сменные носители. Похищает пароли к различным интернет-играм.

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16505[/url]
[url]http://virusinfo.info/showthread.php?t=16511[/url]
[url]http://virusinfo.info/showthread.php?t=16594[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
juok3st.bat и autorun.inf в корневой папке на всех дисках.
eaxbit.dll во временной папке.

[b]Способ запуска[/b]
1. C:\WINDOWS\system32\amvo.exe Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Прописывает запуск через файл AUTORUN.INF в корне основного и съемных дисков.

[b]Внешние проявления [/b](со слов пользователей)
Проводник не показывает скрытые файлы.

Показывать 40 сообщений этой темы на одной странице

Текущее время: 20:19. Часовой пояс GMT +3.

Page generated in 0.00884 seconds with 10 queries