Актуальные зловреды

[b]Алиасы[/b]
Downloader.Agent.hbs (Ewido)
Downloader.Agent.ZQF (AVG)
TR/Dldr.Agent.hbs.8 (AntiVir)
Trojan.DownLoader.39204 (DrWeb)
Trojan.Downloader.Agent.YZD (BitDefender)
Trojan/Downloader.Agent.hbs (TheHacker)
TrojanDownloader.Agent.hbs (CAT-QuickHeal)
VirTool:WinNT/Cutwail.F (Microsoft)
Win32/Wigon.AJ (NOD32v2)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16202[/url]
[url]http://virusinfo.info/showthread.php?t=16213[/url]
[url]http://virusinfo.info/showthread.php?t=16257[/url]
[url]http://virusinfo.info/showthread.php?t=18302[/url]

[b]Файлы на диске[/b]
Имя файла случайное, состоит из трех букв и двух цифр. Например:
C:\WINDOWS\System32\Drivers\Tbi07.sys
C:\WINDOWS\system32\Drivers\Hnr04.sys
размер 24832 байт.

[b]Способ запуска[/b]
Драйвер: Tbi07 C:\WINDOWS\System32\Drivers\Tbi07.sys Группа: SCSI Class
(имя драйвера = имя файла)

[b]Внешние проявления [/b]
Файл с соответствующем именем с списках "Модули пространства ядра" и
Драйверы.

[b]Алиасы[/b]
BehavesLike:Win32.ExplorerHijack (BitDefender)
Covert.Code (Prevx1)
Mal/Behav-150 (Sophos)
SHeur.ALGN (AVG)
Trj/Agent.HQV (Panda)
Trojan.Agent.dur (CAT-QuickHeal)
W32/Smalltroj.BVJU (Norman)
Win-Trojan/Agent.25600.CY (AhnLab-V3)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16229[/url]
[url]http://virusinfo.info/showthread.php?t=16236[/url]

[b]Файлы на диске[/b]
c:\windows\system32\svchost.exe:ext.exe:$DATA
Это альтернативный поток системного файла. Не удаляйте C:\WINDOWS\system32\svchost.exe !!!
25600 байт

[b]Способ запуска[/b]
Служба FCI C:\WINDOWS\system32\svchost.exe:ext.exe

[b]Внешние проявления [/b]
При сканировании диска AVZ выдает в лог сообщение:
c:\windows\system32\svchost.exe:ext.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла

[b]Алиасы[/b]
Downloader.Generic6.ADBR (AVG)
TR/Dldr.Bensorty.FU.1 (AntiVir)
Trojan.DL.Small.uei (Rising)
Trojan.DownLoader.38509 (DrWeb)
Trojan/Downloader.Bensorty.fu (TheHacker)
Win32/TrojanDownloader.Small.NTQ (NOD32v2)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16275[/url]
[url]http://virusinfo.info/showthread.php?t=16297[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\hg543fdg.dll
MD5=19AC498EDA5FEF62437072CABD1540C2
10000 байт

[b]Способ запуска[/b]
O2 - BHO: C:\WINNT\system32\hg543fdg.dll - {B2AC49A2-94F3-42BD-F434-2604812C897D} - C:\WINNT\system32\hg543fdg.dll

[b]Внешние проявления[/b]
Отсутсвует в логе AVZ, хотя в базе безопасных не значится.

Переименован в Packed.Win32.Monder.gen, а затем в Trojan.Win32.Monder.gen

[b]Алиасы[/b]
AdWare.Virtumonde.djl (Not a Virus) (CAT-QuickHeal)
Adware.Vundo.V.Gen (VirusBuster)
Adware/Virtumonde.bio (TheHacker)
Lop (AVG)
TR/Vundo.dvc.5 (AntiVir)
Troj/Virtum-Gen (Sophos)
Trojan:Win32/Vundo.gen!A (Microsoft)
Trojan.Juan.29 (DrWeb)
Trojan.Win32.Undef.bff (Rising)
W32/Virtumonde.G.gen!Eldorado (F-Prot)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16324[/url]
[url]http://virusinfo.info/showthread.php?t=16362[/url]

[b]Файлы на диске[/b]
Файлы dll со случайными именами в папке C:\WINDOWS\system32

[b]Способ запуска[/b]
Модуль расширения Internet Explorer BHO
CLSID случайный

[b]Признаки[/b]
Модуль dll с подозрительным именем у безопасных процессов таких как:
c:\windows\explorer.exe
c:\windows\system32\lsass.exe
+ соответствующий модуль расширения Internet Explorer BHO

[b]Алиасы[/b]
Proxy.XKA (AVG)
Rkit/Agent.EZ (AntiVir)
Trojan Horse (Symantec)
Trojan.Proxy.Wopla.AO (BitDefender)
TrojanProxy.Wopla.at (CAT-QuickHeal)
Win32:Agent-JBL (Avast)
Win32/TrojanProxy.Wopla.AT (NOD32v2)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16250[/url]
[url]http://virusinfo.info/showthread.php?t=16334[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\Drivers\ndisaluo.sys
C:\WINDOWS\system32\Drivers\ntio922.sys
C:\NETHLPR.EXE

[b]Способ запуска[/b]
?

[b]Признаки [/b]
В пункте 1.3 лога AVZ сообщения:
>>>> Подозрение на RootKit ndisaluo C:\WINDOWS\system32\Drivers\ndisaluo.sys
>>>> Подозрение на RootKit ntio922 C:\WINDOWS\system32\Drivers\ntio922.sys

[quote=AndreyKa;172260]
[B]Признаки [/B]
В пункте 1.3 лога AVZ сообщения:
>>>> Подозрение на RootKit ndisaluo C:\WINDOWS\system32\Drivers\ndisaluo.sys
>>>> Подозрение на RootKit ntio922 C:\WINDOWS\system32\Drivers\ntio922.sys[/quote]
Результаты запроса к моей базе - зловред еще дропает файл C:\NETHLPR.EXE (Trojan-Proxy.Win32.Wopla.at). Идентичное поведение у зловреда Trojan-Proxy.Win32.Wopla.aw. Дроппер зловреда активирует привилегию SeDebugPrivilege, обращается к \Device\PhysicalMemory - такое поведение характерно для зловредов, снимающих хуки драверов защитного ПО.

[b]Алиасы[/b]
Generic9.APEN (AVG)
TR/Fujacks.A.1 (AntiVir)
Trojan.Rox (DrWeb)
Virus:Win32/Xorer.A (Microsoft)
W32.Pagipef.I!inf (Symantec)
W32/Fujacks (McAfee)
W32/Smalltroj.CFJY (Norman)
Win32:Agent-PPS (Avast)

[b]Краткое описание[/b]
При запуске создает несколько своих копий, прописывает себя в автозапуск.
Записывает на диск несколько вредоносных файлов, таких как:
Virus.Win32.Xorer.dd
Virus.Win32.Xorer.df
Virus.Win32.Xorer.dp
Копирует себя на съемные диски, прописывая в автозапуск через файл AUTORUN.INF
Судя по наличию в его файле строк с названиями антивирусов, Virus.Win32.Xorer.dr пытается активно противодействовать им.

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16439[/url]

[b]Файлы на диске[/b]
c:\pagefile.pif
C:\NetApi00.sys
C:\037589.log
C:\AUTORUN.INF
C:\lsass.exe.48247687.exe
C:\WINDOWS\system32\com\smss.exe
C:\WINDOWS\system32\com\netcfg.000
C:\WINDOWS\system32\com\netcfg.dll
C:\WINDOWS\system32\com\lsass.exe
C:\WINDOWS\system32\dnsq.dll
Некоторые имена случайны.

[b]Способ запуска[/b]
1. Прописывает запуск через файл AUTORUN.INF в корне основного и съемных дисков.
2. Записывает свои копии в меню автозапуска:
...\Главное меню\Программы\Автозагрузка\~.exe.49425375.exe
3. O20 - AppInit_DLLs: C:\WINDOWS\system32\dnsq.dll

[b]Алиасы[/b]
BackDoor.Generic_c.AEW (AVG)
Generic.dx (McAfee)
I-Worm.Agent.l (CAT-QuickHeal)
TR/Pandex.L.2 (AntiVir)
Trj/Spammer.ADX (Panda)
Troj/Agent-GDR (Sophos)
Trojan.NtRootKit.360 (DrWeb)
Trojan.Pandex.L (BitDefender)
VirTool:WinNT/Cutwail.D (Microsoft)
W32/Agent.L@mm (Fortinet)
W32/Smallworm.AEH (Norman)
W32/Trojan.BXQV (F-Prot)
Win32:Agent-LNK (Avast)
Win32.Agent.l (eSafe)
Win32/Agent.NBT (NOD32v2)
Win32/Agent.worm.114480 (AhnLab-V3)
Win32/Cutspeer.A (eTrust-Vet)
Worm.Agent.l (Ewido)
Worm.Mail.Win32.Agent.mc (Rising)

[b]Примечание[/b]
Появился почти полгода назад. Его знают все антивирусы, но он все еще попадается в диком виде!
Возможна связь с Trojan-Downloader.Win32.Agent.ggt

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=15929[/url]
[url]http://virusinfo.info/showthread.php?t=16444[/url]
[url]http://virusinfo.info/showthread.php?t=16595[/url]
[url]http://virusinfo.info/showthread.php?t=16602[/url]
[url]http://virusinfo.info/showthread.php?t=16748[/url]
[url]http://virusinfo.info/showthread.php?t=16796[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\DRIVERS\smtpdrv.sys
18176 байт
MD5=5A5A869F4343A5C4057DA597FFFA3482

[b]Способ запуска[/b]
Драйвер smtpdrv C:\WINDOWS\system32\DRIVERS\smtpdrv.sys
Группа: Streams Drivers

[b]Алиасы[/b]
Generic.Zlob.80ABF7BE (BitDefender)
Generic9.AJXX (AVG)
TR/Obfuscated.MP (AntiVir)
Trojan-Downloader.Zlob.Media-Codec (Sunbelt)
Trojan:Win32/Wantvi.D (Microsoft)
Trojan.NtRootKit.612 (DrWeb)
Trojan.Obfuscated.mp (CAT-QuickHeal)
Trojan.Virantix.B (Symantec)
Trojan/Obfuscated.mp (TheHacker)
W32/Obfuscated.MP!tr (Fortinet)
W32/Trojan2.TCK (F-Prot)
Win32.Obfuscated.mp (eSafe)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=15680[/url]
[url]http://virusinfo.info/showthread.php?t=16221[/url]
[url]http://virusinfo.info/showthread.php?t=16779[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\System32\Drivers\Beep.SYS
37888 байт.

[b]Способ запуска[/b]
Подменяет собой системный драйвер с таким же именем и запускается вместо него.

[b]Алиасы[/b]
ADSPY/Agent.YW.2 (AntiVir)
Adware Generic2.ZKE (AVG)
AdWare.Agent.yw (Not a Virus) (CAT-QuickHeal)
Adware.Bho (DrWeb)
Not-A-Virus.Adware.Agent (Ewido)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16050[/url]
[url]http://virusinfo.info/showthread.php?t=16348[/url]
[url]http://virusinfo.info/showthread.php?t=16381[/url]
[url]http://virusinfo.info/showthread.php?t=18620[/url]

[b]Файл на диске[/b]
C:\Program Files\ContentSaver\ContentSaver.dll
118784 байт

[b]Способ запуска[/b]
C:\Program Files\ContentSaver\ContentSaver.dll BHO {29F340EA-2108-40d0-94A0-62EC2B9EDF59}

[b]Особенности[/b]
Можно удалять через Панель управления - Установка/Удаление программ.

[b]Алиасы[/b]
BackDoor.Generic9.MOG (AVG)
Generic RootKit.a (McAfee)
Rkit/Agent.TC (AntiVir)
RootKit.A!tr (Fortinet)
Rootkit.Agent.tc (CAT-QuickHeal)
Rootkit/Lanman.BR (Panda)
Trojan.LanMan (DrWeb)
Trojan/Agent.tc (TheHacker)
VirTool:WinNT/Laqma.A (Microsoft)
W32/Rootkit.CDH (Norman)

[b]Краткое описания[/b]
Функционирует как модуль пространства ядра.
Перехватывает несколько функций в KernelMode.
Встречался в паре с c:\windows\system32\lanmanwrk.exe - Trojan.Win32.Agent.dwq

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=12434[/url]
[url]http://virusinfo.info/showthread.php?t=16319[/url]
[url]http://virusinfo.info/showthread.php?t=16400[/url]
[url]http://virusinfo.info/showthread.php?t=16494[/url]
[url]http://virusinfo.info/showthread.php?t=17302[/url]
[url]http://virusinfo.info/showthread.php?t=17440[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\System32\lanmandrv.sys
MD5=B5EC5B3E0BC6B26BB05282B65AF90686
5632 байт

[b]Способ запуска[/b]
Драйвер: lanmandrv C:\WINDOWS\System32\lanmandrv.sys

Переименован в Packed.Win32.Monder.gen

[b]Алиасы[/b]
AdWare.Virtumonde.dnn (CAT-QuickHeal)
Generic9.AQNO (AVG)
Spyware/Virtumonde (Panda)
TR/Vundo.DWB (AntiVir)
Troj/Virtum-Gen (Sophos)
Trojan.Metajuan (Symantec)
Trojan.Virtumod.260 (DrWeb)
Trojan.Vundo.DWB (BitDefender)
W32/Virtumonde.G.gen!Eldorado (F-Prot)
W32/Virtumonde.JTK (Norman)
Win32/Adware.SecToolbar (NOD32v2)

[b]Описание[/b]
Рекламная программа, показывающая всплывающие сообщения.
Функционирует как модуль сразу нескольких процессов.
Встречается вместе с другими представителями семейства AdWare.Win32.Virtumonde.
Экземпляры файлов отличаются друг от друга приписанным в конце файла случайным набором чисел.

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16362[/url]
[url]http://virusinfo.info/showthread.php?t=16466[/url]
[url]http://virusinfo.info/showthread.php?t=16496[/url]
[url]http://virusinfo.info/showthread.php?t=17108[/url]

[b]Файлы на диске[/b]
Файл dll со случайным именем из букв в папке C:\WINDOWS\system32
163904 байт

[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\_имя_файла_
+
BHO {A95B2816-1D7E-4561-A202-68C0DE02353A}

[b]Алиасы[/b]
Agent.2.AN (AVG)
Mal/Behav-150 (Sophos)
Trojan.Agent.dxg (Ewido)
Trojan.Spambot.2572 (DrWeb)
Trojan/Agent.dxg (TheHacker)
W32/Agent.DXG!tr (Fortinet)
W32/Smalltroj.CFKI (Norman)
W32/Trojan2.TZE (F-Prot)
Win-Trojan/Agent.25600.DD (AhnLab-V3)
Win32/Obfuscated.NAL (NOD32v2)
Win32/SillyProxy.BQ (eTrust-Vet)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16416[/url]
[url]http://virusinfo.info/showthread.php?t=16437[/url]
[url]http://virusinfo.info/showthread.php?t=16491[/url]
[url]http://virusinfo.info/showthread.php?t=16446[/url]
[url]http://virusinfo.info/showthread.php?t=16601[/url]

[b]Файлы на диске[/b]
Может быть как в виде exe файла:
C:\WINDOWS\system32\fci.exe
Так и в виде альтернативного потока системного файла:
C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA
[b]Не удаляйте файл C:\WINDOWS\system32\svchost.exe !!![/b]
25600 байт
MD5=01EA113361CC3ACC160930D8918FC682

[b]Способ запуска[/b]
Служба FCI C:\WINDOWS\system32\fci.exe
Группа: TDI

[b]Внешние проявления [/b](со слов пользователей)
Много трафика идет. svchost.exe создает много подключений по SMTP.
Периодически с компьютера отправляют сообщения по электронной почте.

[b]Алиасы[/b]
[b]amvo.exe:[/b]
PWS-OnlineGames.a (McAfee)
SHeur.SHW (Prevx1)
Trojan.PWS.OnlineGames.NXF (BitDefender)
W32.Gammima.AG (Symantec)
W32/AutoRun.BDA (Norman)
W32/AutoRun.bnq (TheHacker)
W32/AutoRun.BNQ!worm (Fortinet)
W32/Autorun.LD.worm (Panda)
W32/Worm.LZX (F-Prot)
Win-Trojan/OnlineGameHack.103956 (AhnLab-V3)
Win32:AutoRun-MH (Avast)
Win32.AutoRun.bnq (eSafe)
Win32.HLLW.Autoruner.1020 (DrWeb)
Win32.Packed.NSAnti.r (CAT-QuickHeal)
Win32/Frethog.AGF (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Worm/AutoRun.Y (AVG)
[b]amvo0.dll:[/b]
OnlineGames.A!tr.pws (Fortinet)
PWS-OnlineGames.a (McAfee)
Trojan.PWS.OnlineGames.NXF (BitDefender)
Trojan.PWS.Wsgame.2387 (DrWeb)
W32/AutoRun.BDE (Norman)
W32/AutoRun.bnq (TheHacker)
W32/Autorun.LD.worm (Panda)
Win-Trojan/OnlineGameHack.54784.B (AhnLab-V3)
Win32/Frethog.AGF (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16117[/url]
[url]http://virusinfo.info/showthread.php?t=16151[/url]
[url]http://virusinfo.info/showthread.php?t=16597[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
autorun.inf в корневой папке на всех дисках.
В нем прописан файл u.bat (имя файла может быть другим) для автозапуска.
u.bat имеет атрибуты скрытый, системный, только для чтения.
Для сокрытия присутствия используется руткит, работающий в режиме ядра - C:\WINDOWS\system32\wincab.sys Его файл после запуска удаляется с диска.

[b]Способ запуска[/b]
1. C:\WINDOWS\system32\amvo.exe Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Прописывает запуск через файл AUTORUN.INF в корне основного и съемных дисков.

[b]Внешние проявления [/b](со слов пользователей)
Не показывает скрытые файлы и папки. Локальные диски открывает в новом окне.

[b]Алиасы[/b]
Win32/Sality.AB (NOD32v2)
Virus:Win32/Sality.AH (Microsoft)
W32.Sality.AB (Symantec)
W32/Kashu.A (AntiVir)
W32/Sality-AM (Sophos)
W32/Sality.ad (McAfee)
W32/Sality.AE (F-Prot)
Win32.Kashu.A (BitDefender)
Win32.Sector.4 (DrWeb)
Win32/Kashu (AhnLab-V3)
Win32/Sality.V (eTrust-Vet)

[b]Описание[/b]
Файловый вирус. Распространяется путем заражения исполняемых файлов (.exe и .scr). Пытается загрузить вредоносные файлы через Интернет.
[url]http://www.symantec.com/security_response/writeup.jsp?docid=2008-011120-5334-99[/url] (англ.)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16621[/url]
и в темах [url=http://virusinfo.info/showpost.php?p=168282&postcount=6]Trojan.Win32.KillAV.ne[/url]

[b]Внешние проявления [/b](со слов пользователей)
Компьютер не может загрузится в Безопасном режиме.
Работа антивирусов нарушается, антивирусы удаляются.

[quote=AndreyKa;173478]
[b]Email-Worm.Win32.Agent.l[/b]
...
Возможна связь с Trojan-Downloader.Win32.Agent.ggt
[/quote]
Доп. данные из моих баз - в частности его дропает одноименный зловред [b]Email-Worm.Win32.Agent.l[/b] по классификации ЛК. Он создает файл C:\WINDOWS\system32\drivers\smtpdrv.sys (Email-Worm.Win32.Agent.l по ЛК), а также C:\WINDOWS\system32\MailSpectre.exe (Trojan.Win32.Agent.bap по ЛК), после чего регистрирует драйвер под именем smtpdrv и включает в группу "Streams Drivers" - т.е. поведение в точности совпадает с описанным выше. Исполняемый файл данного зловреда, выступающий в роли дроппера, имеет размер 155 кб, программный код написан на C, не зашифрован, дропаемые файлы приписаны в хвост дроппера. Trojan.Win32.Agent.bap в свою очередь в ходе работы обращается к драйверу smtpdrv.sys, что доказывает их взаимосвязь

[b]Алиасы[/b]
Downloader.Agent.AACP (AVG)
PWS:Win32/Zbot (Microsoft)
Trojan-Spy.Win32.Broker.as (Kaspersky)
Trojan.Proxy.2634 (DrWeb)
Trojan.Spy.Broker.N (BitDefender)
Trojan/Spy.Broker.as (TheHacker)
W32/Malware.BOKQ (Norman)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16595[/url]
[url]http://virusinfo.info/showthread.php?t=16626[/url]
[url]http://virusinfo.info/showthread.php?t=16656[/url]
[url]http://virusinfo.info/showthread.php?t=16757[/url]
[url]http://virusinfo.info/showthread.php?t=16895[/url]
[url]http://virusinfo.info/showthread.php?t=17214[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\ntos.exe

[b]Способ запуска[/b]
C:\WINDOWS\system32\ntos.exe
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit

[b]Примечание[/b]
Представитель этого семейства с описанием: [url=http://virusinfo.info/showpost.php?p=171235&postcount=18]Trojan-Spy.Win32.Broker.ap[/url]

[b]Алиасы[/b]
BackDoor.Generic9.NNL (AVG)
Rootkit.Agent.ql (CAT-QuickHeal)
Trojan.NtRootKit.511 (DrWeb)
Trojan.Rootkit.Agent.NDW (BitDefender)
VirTool:WinNT/Boaxxe.E (Microsoft)
W32/Rootkit.AHL (F-Prot)
W32/Rootkit.CNC (Norman)
Win32:Agent-PSI (Avast)
Win32/Agent.NOU (NOD32v2)
Win32/Kvol.Q (eTrust-Vet)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=12434[/url]
[url]http://virusinfo.info/showthread.php?t=16594[/url]
[url]http://virusinfo.info/showthread.php?t=16667[/url]
[url]http://virusinfo.info/showthread.php?t=17254[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\Drivers\*.dat
* - 8 случайных латинских букв
19456 байт

[b]Способ запуска[/b]
Драйвер. Его имя тоже случайное и отличается от имени файла.
Группа: Boot Bus Extender
Работает как Модуль пространства ядра.

[b]Алиасы[/b]
BZub.ARU (Norman)
Generic9.AJIO (AVG)
TR/BHO.agz.21 (AntiVir)
Trj/Downloader.RKS (Panda)
Troj/BHO-EL (Sophos)
Trojan:Win32/Boaxxe.C (Microsoft)
Trojan.Adclicker (Symantec)
Trojan.BHO-1253 (ClamAV)
Trojan.BHO.agz (Ewido)
Trojan.DoS.Win32.Opdos (Prevx1)
Trojan.DownLoader.38058 (DrWeb)
Trojan.Spy.Bzub.NGP (BitDefender)
Trojan/BHO.agz (TheHacker)
W32/BHO.AGZ!tr (Fortinet)
Win32:BHO-KD (Avast)
Win32/BHO.AGZ (NOD32v2)
Win32/Kvol!generic (eTrust-Vet)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=12434[/url]
[url]http://virusinfo.info/showthread.php?t=16189[/url]
[url]http://virusinfo.info/showthread.php?t=16667[/url]

[b]Файлы на диске[/b]
dll файл со случайным именем из латинских букв в папке c:\windows\system32
Встречается вместе с Rootkit.Win32.Agent.tw (см. выше).

[b]Способ запуска[/b]
BHO, CLSID - случайный

[b]Алиасы[/b]
[b]amvo.exe[/b]
Trj/Wow.SE (Panda)
Trojan.Dropper.OnlineGames.I (BitDefender)
Trojan.MulDrop.6474 (DrWeb)
Trojan.Win32.AVKiller (VBA32)
W32.Gammima.AG (Symantec)
W32/Autorun-AQ (Sophos)
W32/AutoRun.bur (TheHacker)
W32/AutoRun.BUR!worm (Fortinet)
W32/Autorun.worm.bn (McAfee)
W32/Smalltroj.CIGU (Norman)
Win32.Packed.NSAnti.r (CAT-QuickHeal)
Win32/Autorun.worm.104863 (AhnLab-V3)
Win32/Frethog.AGS (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Worm/Generic.FHX (AVG)

[b]eaxbit.dll & amvo0.dll[/b]
BHO.CYR, PSW.OnlineGames.ABQN (AVG)
Trj/Wow.SE (Panda)
Trojan.Agent.AGPW, Trojan.PWS.OnlineGames.NYX (BitDefender)
Trojan.Legmir.A (Prevx1)
Trojan.Nsanti.Packed, Trojan.PWS.Wsgame.2387 (DrWeb)
Trojan.Small-1780 (ClamAV)
W32.Gammima.AG (Symantec)
W32/Autorun-AQ (Sophos)
W32/AutoRun.AQ!worm (Fortinet)
W32/AutoRun.bur (TheHacker)
W32/Autorun.worm.bn (McAfee)
W32/Smalltroj.CIGR, W32/Smalltroj.CIUP (Norman)
Win-Trojan/OnlineGameHack.54784.F (AhnLab-V3)
Win32/NSAnti, Win32/VMalum.BUVZ (eTrust-Vet)
Win32/PSW.OnLineGames.NLK, Win32/Rootkit.Vanti.NAI (NOD32v2)
Worm.AutoRun.bur (CAT-QuickHeal)

[b]Описание[/b]
Червь распространяющийся копированием самого себя на сменные носители. Похищает пароли к различным интернет-играм.

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16505[/url]
[url]http://virusinfo.info/showthread.php?t=16511[/url]
[url]http://virusinfo.info/showthread.php?t=16594[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
juok3st.bat и autorun.inf в корневой папке на всех дисках.
eaxbit.dll во временной папке.

[b]Способ запуска[/b]
1. C:\WINDOWS\system32\amvo.exe Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Прописывает запуск через файл AUTORUN.INF в корне основного и съемных дисков.

[b]Внешние проявления [/b](со слов пользователей)
Проводник не показывает скрытые файлы.