-
Trojan-PSW.Win32.OnLineGames.oob
[b]Алиасы[/b]
[b]m1t8ta.com[/b]
Trojan.PWS.Wsgame.2387 (DrWeb)
Trojan/PSW.OnLineGames.oob (TheHacker)
TrojanPSW.OnLineGames.oob (CAT-QuickHeal)
W32/AutoInf-H (Sophos)
W32/Lineage.HDR.worm (Panda)
W32/OnLineGames.AIFH (Norman)
W32/OnLineGames.OOB!tr.pws (Fortinet)
Win-Trojan/Autorun.54784 (AhnLab-V3)
Win32/Frethog.AGY (eTrust-Vet)
Win32/PSW.OnLineGames.NLK (NOD32v2)
[b]amvo1.dll[/b]
Dropper/Autorun.105525 (AhnLab-V3)
Trojan.MulDrop.6474 (DrWeb)
Trojan.PWS.OnLineGames.OOB (BitDefender)
Trojan/PSW.OnLineGames.oob (TheHacker)
W32/AutoInf-H (Sophos)
W32/Lineage.HDR.worm (Panda)
W32/Smalltroj.CJDR (Norman)
Win32.Packed.NSAnti.r (CAT-QuickHeal)
Win32/Frethog.AGY (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Worm/AutoRun.Y (AVG)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16569[/url]
[url]http://virusinfo.info/showthread.php?t=16570[/url]
[url]http://virusinfo.info/showthread.php?t=16588[/url]
[url]http://virusinfo.info/showthread.php?t=16682[/url]
[b]Файлы на диске[/b]
C:\m1t8ta.com
C:\autorun.inf
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
C:\WINDOWS\system32\amvo.exe
autorun.inf и m1t8ta.com - на всех дисках в корневой папке
[b]Способ запуска[/b]
1. Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
[b]Внешние проявления [/b](со слов пользователей)
Проводник не показывает скрытые файлы.
-
Trojan.Win32.Inject.sm
[b]Алиасы[/b]
BackDoor.Bifrost.526 (DrWeb)
Backdoor.Eterok.C (Symantec)
Generic9.ATJS (AVG)
Mal/Generic-A (Sophos)
TR/Inject.SM (AntiVir)
W32/Inject.SM!tr (Fortinet)
Win32/TrojanProxy.Xorpix.NAE (NOD32v2)
[b]Описание[/b]
Внедряется в системный процес Winlogon.
В списке модулей отсутствует.
Запускает процесс iexplore.exe и внедряется в него.
Отрывает BackDoor на случайном порту TCP.
Отправляет этот номер порта на удаленный сервер, ожидает соединения и команды для выполнения.
[url]http://www.symantec.com/security_response/writeup.jsp?docid=2006-061317-0557-99&tabid=2[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16421[/url]
[url]http://virusinfo.info/showthread.php?t=16535[/url]
[url]http://virusinfo.info/showthread.php?t=16586[/url]
[url]http://virusinfo.info/showthread.php?t=16984[/url]
[url]http://virusinfo.info/showthread.php?t=17707[/url]
[b]Файлы на диске[/b]
C:\Documents and Settings\All Users\Документы\Settings\abc32.dll
%UserProfile%\Local Settings\Temp\arm????.tmp
[b]Способ запуска[/b]
C:\Documents and Settings\All Users\Документы\Settings\abc32.dll
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\abc32reg
-
Trojan-PSW.Win32.OnLineGames.oob
[quote=AndreyKa;178527]
[B]Файлы на диске[/B]
C:\m1t8ta.com
C:\autorun.inf
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
C:\WINDOWS\system32\amvo.exe
autorun.inf и m1t8ta.com - на всех дисках в корневой папке
[B]Способ запуска[/B]
1. Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
[B]Внешние проявления [/B](со слов пользователей)
Проводник не показывает скрытые файлы.[/quote]
Небольшое дополнение из моей базы: Размер исполняемого файла зловрда 105 кб. Файл amvo.exe в указанном месте создают также Worm.Win32.AutoRun.* (в частности, Worm.Win32.AutoRun.bmz, Worm.Win32.AutoRun.bun, Worm.Win32.AutoRun.bur, Worm.Win32.AutoRun.cag), а также Trojan-PSW.Win32.OnLineGames.* (в частности Trojan-PSW.Win32.OnLineGames.ost, Trojan-PSW.Win32.OnLineGames.ozf, Trojan-PSW.Win32.OnLineGames.pdb, Trojan-PSW.Win32.OnLineGames.pfm, Trojan-PSW.Win32.OnLineGames.pfm, Trojan-PSW.Win32.OnLineGames.pmo).
По поводу зловреда Trojan-PSW.Win32.OnLineGames.oob можно отметить, что он:
1. Создает во временной папке ряд файлов, в частности lb2t87v.dll, uu2c.sys
2. Определяет местоположение IE для того, чтобы запустить его и инжектит в процесс IE троянский код
3. amvo.exe - это копия дроппера зловреда
4. Зловред умеет бороться с антивирусами, в частности реализует классическую атаку на GUI AVP
5. Модифицирует параметры ключа реестра Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced с именами Hidden и ShowSuperHidden, изменяет политику безопасности путем правки реестра - в ключе Software\Microsoft\Windows\CurrentVersion\Policies\Explorer он модифицирует параметр NoDriveTypeAutoRun. Эти изменения реестра защищены от восстановления за счет того, что зловред периодически повторяет их правку
6. Плодит файлы *:\m1t8ta.com и *:\autorun.inf, причем m1t8ta.com - это копия дроппера зловреда.
-
Worm.Win32.AutoRun.bvz
Очередной представитель семейства Worm.Win32.AutoRun, имеющего в последние несколько недель широкое распространение.
[b]Алиасы[/b]
Trojan.Agent.AGOB (BitDefender)
Trojan.MulDrop.6474 (DrWeb)
W32/AutoRun.bvz (TheHacker)
W32/Lineage.HEF.worm (Panda)
Win32.Packed.NSAnti.r (CAT-QuickHeal)
Win32/Autorun.worm.106174 (AhnLab-V3)
Win32/Frethog.AHE (eTrust-Vet)
Worm/AutoRun.Y (AVG)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16594[/url]
[url]http://virusinfo.info/showthread.php?t=16682[/url]
[url]http://virusinfo.info/showthread.php?t=16795[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
autorun.inf и xn1i9x.com - на всех дисках в корневой папке
[b]Способ запуска[/b]
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
[b]Внешние проявления [/b](со слов пользователей)
Проводник не показывает скрытые файлы.
-
Worm.Win32.AutoRun.cas и Worm.Win32.AutoRun.cag
[b]Алиасы[/b]
PWS-LegMir.gen.k (McAfee)
Trj/Downloader.SEW (Panda)
Trojan.Agent.AGOT (BitDefender)
Trojan.MulDrop.6474 (DrWeb)
Trojan.PSW.Win32.GameOL.loc (Rising)
W32.Gammima.AG (Symantec)
W32/AutoRun.cas (TheHacker)
W32/Smalltroj.CKQK (Norman)
Win-Trojan/OnlineGameHack.105942 (AhnLab-V3)
Win32/Frethog.AHJ (eTrust-Vet)
Win32/Pacex.Gen (NOD32v2)
Worm/AutoRun.Y (AVG)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16670[/url]
[url]http://virusinfo.info/showthread.php?t=16746[/url]
[url]http://virusinfo.info/showthread.php?t=17038[/url]
[url]http://virusinfo.info/showthread.php?t=17164[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
%Temp%\9ba4xn.dll
autorun.inf и xn1i9x.com - на всех дисках в корневой папке
autorun.inf детектируется как Trojan-PSW.Win32.OnLineGames.pgs
[b]Способ запуска[/b]
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
[b]Внешние проявления [/b](со слов пользователей)
Проводник не показывает скрытые файлы.
[b]Worm.Win32.AutoRun.cag[/b] мало чем отличается от [b]Worm.Win32.AutoRun.cas[/b]. Он найден в темах:
[url]http://virusinfo.info/showthread.php?t=16675[/url]
[url]http://virusinfo.info/showthread.php?t=16865[/url]
[url]http://virusinfo.info/showthread.php?t=17160[/url]
Отличия в детекте:
W32/AutoRun.CAG!worm (Fortinet)
W32/Lineage.HEF.worm (Panda)
W32/Smalltroj.CKGL (Norman)
Win32:AutoRun-PC (Avast)
Win32/Frethog.AHG (eTrust-Vet)
Дополнительные алиасы для [b]amvo0.dll[/b]
Generic.dx (McAfee)
Trojan.PWS.Wsgame.2387 (DrWeb)
W32/AutoRun.BKD (Norman)
W32/Autorun.MY.worm (Panda)
Win-Trojan/OnlineGameHack.54784.R (AhnLab-V3)
Win32:AutoRun-PD (Avast)
Worm.AutoRun.cag (CAT-QuickHeal)
-
Worm.Win32.AutoRun.cbi, Worm.Win32.AutoRun.chv и Worm.Win32.AutoRun.cin
Ползучая эпидемия продолжается.
[b]Алиасы[/b]
Trojan.MulDrop.6474 (DrWeb)
Trojan.PSW.Win32.GameOL.lod (Rising)
Trojan.PWS.Onlinegames.NXQ (BitDefender)
W32.Gammima.AG (Symantec)
W32/AutoRun.cbi (TheHacker)
W32/Autorun.MR.worm (Panda)
W32/Smalltroj.CKWC (Norman)
Win32.AutoRun.cbi (eSafe)
Win32/Frethog.AIG (eTrust-Vet)
Win32/PSW.OnLineGames.MUU (NOD32v2)
Worm/AutoRun.Y (AVG)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16742[/url]
[url]http://virusinfo.info/showthread.php?t=16985[/url]
[url]http://virusinfo.info/showthread.php?t=17095[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
autorun.inf и qd.cmd - на всех дисках в корневой папке
[b]Способ запуска[/b]
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
[b]Внешние проявления [/b](со слов пользователей)
Проводник не показывает скрытые файлы.
Отличия [b]Worm.Win32.AutoRun.chv[/b]
[b]Алиасы
amvo.exe[/b]
Dropper/Autorun.104080 (AhnLab-V3)
PWS:Win32/OnLineGames.BL (Microsoft)
Trj/QQPass.BBV (Panda)
Trojan.MulDrop.6474 (DrWeb)
W32/AutoRun.chv (TheHacker)
W32/NSAnti.FZS (Norman)
Win32/Frethog.AJA (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17324[/url]
[url]http://virusinfo.info/showthread.php?t=17382[/url]
[url]http://virusinfo.info/showthread.php?t=17635[/url]
[b]Файлы на диске[/b]
%Temp%\pqub.dll
В корне всех дисков файл h.cmd
Отличия [b]Worm.Win32.AutoRun.cin[/b]
[b]Алиасы
amvo.exe[/b]
Trojan.Agent.AGTI (BitDefender)
W32/AutoRun.cin (TheHacker)
W32/Downldr2.AXPW (F-Prot)
W32/Lineage.GUF.worm (Panda)
Win-Trojan/Autorun.104644 (AhnLab-V3)
Win32/PSW.OnLineGames.NLI (NOD32v2)
[b]amvo0.dll[/b]
Trojan.PWS.Wsgame.2387 (DrWeb)
VirTool:Win32/Obfuscator.T (Microsoft)
W32/NSAnti.GDM (Norman)
Win32/PSW.OnLineGames.NLK (NOD32v2)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17457[/url]
[url]http://virusinfo.info/showthread.php?t=17474[/url]
[url]http://virusinfo.info/showthread.php?t=17631[/url]
[b]Файлы на диске[/b]
%Temp%\yjyuu.dll
В корне всех дисков файл i.cmd
-
Trojan-Downloader.Win32.Agent.hnp
[b]Алиасы[/b]
Downloader.Agent.AADM (AVG)
Downloader.Agent.hnp (Ewido)
TR/Dldr.Agent.hnp (AntiVir)
Trj/Downloader.SFC (Panda)
Trojan:Win32/Adclicker.AO (Microsoft)
Trojan.Adclicker.GY (BitDefender)
Trojan.BhoSpy (DrWeb)
Trojan.Win32.Undef.cap (Rising)
Trojan/Downloader.Agent.hnp (TheHacker)
TrojanDownloader.Agent.hnp (CAT-QuickHeal)
W32/Agent.EAPT (Norman)
W32/Agent.HNP!tr.dldr (Fortinet)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16679[/url]
[url]http://virusinfo.info/showthread.php?t=16806[/url]
[url]http://virusinfo.info/showthread.php?t=17103[/url]
[url]http://virusinfo.info/showthread.php?t=17106[/url]
[url]http://virusinfo.info/showthread.php?t=17215[/url]
[url]http://virusinfo.info/showthread.php?t=18226[/url]
[url]http://virusinfo.info/showthread.php?t=18323[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\System32\socksys.dll
или
C:\WINDOWS\system32\socketa.dll
25600 байт
[b]Способ запуска[/b]
BHO {FFFFFFFF-F538-4f86-ABAF-E9D94D5C007C}
-
Trojan-PSW.Win32.OnLineGames.pqm
[b]Алиасы[/b]
[b]xo8wr9.exe и amvo.exe[/b]
PSW.OnlineGames.ACQL (AVG)
PWS-Mmorpg.gen (McAfee)
Trojan.MulDrop.6474 (DrWeb)
Trojan.PSW.Win32.GameOL.lri (Rising)
Trojan.PWS.OnlineGames.OOV (BitDefender)
Trojan/PSW.OnLineGames.pqm (TheHacker)
W32.Gammima.AG (Symantec)
W32/Lineage.HHP.worm (Panda)
W32/OnLineGames.AJHA (Norman)
Win-Trojan/OnlineGameHack.103781 (AhnLab-V3)
Win32/Frethog.AIK (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
[b]amvo1.dll[/b]
Trojan.PSW.Win32.GameOL.lri (Rising)
Trojan.PWS.OnlineGames.OOV (BitDefender)
Trojan.PWS.Wsgame.2387 (DrWeb)
VB.BHZ (Prevx1)
W32.Gammima.AG (Symantec)
W32/Lineage.HHP.worm (Panda)
Win32/Frethog.AIK (eTrust-Vet)
Win32/PSW.OnLineGames.NLK (NOD32v2)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17066[/url]
[url]http://virusinfo.info/showthread.php?t=17068[/url]
[url]http://virusinfo.info/showthread.php?t=17112[/url]
[url]http://virusinfo.info/showthread.php?t=17315[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
autorun.inf и xo8wr9.exe - на всех дисках в корневой папке
[b]Способ запуска[/b]
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
[b]Внешние проявления [/b](со слов пользователей)
Проводник не показывает скрытые файлы.
-
Worm.Win32.AutoRun.cgi и Trojan-PSW.Win32.OnLineGames.pwr
[b]Алиасы[/b]
[b]h.cmd и amvo.exe[/b]
PWS-LegMir (McAfee)
Trojan.MulDrop.6474 (DrWeb)
W32.Gammima.AG (Symantec)
W32/AutoRun.cgi (TheHacker)
W32/NSAnti.FXO (Norman)
W32/Wow.SI.worm (Panda)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Win32/VMalum.BVDB (eTrust-Vet)
[b]amvo0.dll[/b]
PSW.OnlineGames.ADBF (AVG)
Trojan.PWS.Wsgame.2387 (DrWeb)
VB.BHZ (Prevx1)
W32/NSAnti.FXP (Norman)
Win32/PSW.OnLineGames.NLK (NOD32v2)
[b]Описание[/b]
Червь распространяющийся копированием самого себя на сменные носители. Похищает пароли к различным интернет-играм.
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17225[/url]
[url]http://virusinfo.info/showthread.php?t=17255[/url]
[url]http://virusinfo.info/showthread.php?t=17337[/url]
[url]http://virusinfo.info/showthread.php?t=17382[/url]
[url]http://virusinfo.info/showthread.php?t=17635[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll - детектируется как Trojan-PSW.Win32.OnLineGames.pwr
C:\WINDOWS\system32\amvo1.dll
%Temp%\fhf.dll
autorun.inf и h.cmd - на всех дисках в корневой папке
[b]Способ запуска[/b]
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
[b]Внешние проявления [/b](со слов пользователей)
Проводник не показывает скрытые файлы.
-
Trojan-Downloader.Win32.Agent.hlt
[b]Алиасы[/b]
BackDoor.Bulknet.134 (DrWeb)
Downloader.Agent.AAAN (AVG)
Trj/Spammer.ADX (Panda)
Trojan.Downloader-21950 (ClamAV)
Trojan.Downloader.Small.AAKE (BitDefender)
Trojan/Downloader.Agent.hlt (TheHacker)
TrojanDownloader.Agent.hlt (CAT-QuickHeal)
VirTool:WinNT/Cutwail.F (Microsoft)
W32/DLoader.FGTA (Norman)
W32/Emogen.HLT!tr.dldr (Fortinet)
Win-Trojan/SpamMailer.25984 (AhnLab-V3)
Win32.Agent.hlt (eSafe)
Win32/Wigon.AN (NOD32v2)
Worm/Ntech.Z.4 (AntiVir)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16595[/url]
[url]http://virusinfo.info/showthread.php?t=17099[/url]
[url]http://virusinfo.info/showthread.php?t=17458[/url]
[b]Файл на диске[/b]
Имя состоит из трех случайных букв и двух цифр. Например:
C:\WINDOWS\System32\Drivers\Iot62.sys
C:\WINDOWS\System32\Drivers\Agk37.sys
Размер 25984 байт
[b]Способ запуска[/b]
Драйвер: C:\WINDOWS\System32\Drivers\?????.sys
Группа: SCSI Class
Функционирует как модуль пространства ядра.
-
Trojan-Dropper.Win32.Agent.dsg и Trojan-Downloader.Win32.Small.hwc
[b]Алиасы[/b]
TR/Agent.41984.21 (AntiVir)
Trj/Dropper.AAD (Panda)
Troj/Agent-GNA (Sophos)
Trojan.Downloader.Small.AAKR (BitDefender)
Trojan.MulDrop.10872 (DrWeb)
Trojan/Dropper.Agent.dsg (TheHacker)
TrojanDropper.Agent.dsg (CAT-QuickHeal)
VirTool:Win32/Rootkitdrv.BR (Microsoft)
W32/Agent.EAJP (Norman)
Win32:Agent-OLI (Avast)
[b]Описание[/b]
Троян с функционалом обмена информацией с удаленным сервером через протокол HTTP.
При первом запуске копирует себя в файлы
%USERPROFILE%\Local Settings\Application Data\ayagbf.exe
%SystemRoot%\System32\drivers\msbzgh.exe
и создает следующие файлы:
%USERPROFILE%\msftp.dll
%SystemRoot%\System32\drivers\sysproc.sys
%SystemRoot%\System32\msftp.dll
Источник: [url]http://www.sophos.com/virusinfo/analyses/trojagentgna.html[/url] (анг.)
sysproc.sys детектируется как Rootkit.Win32.Agent.mu
msftp.dll детектируется как Trojan-Downloader.Win32.Small.hwc
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16816[/url]
[url]http://virusinfo.info/showthread.php?t=17179[/url]
[url]http://virusinfo.info/showthread.php?t=17495[/url]
[url]http://virusinfo.info/showthread.php?t=17513[/url]
[url]http://virusinfo.info/showthread.php?t=17522[/url]
[url]http://virusinfo.info/showthread.php?t=17540[/url]
[url]http://virusinfo.info/showthread.php?t=17548[/url]
[url]http://virusinfo.info/showthread.php?t=17685[/url]
[url]http://virusinfo.info/showthread.php?t=17856[/url]
[b]Способ запуска[/b]
1) Служба: Schedule
C:\WINDOWS\system32\drivers\msbzgh.exe
Группа: SchedulerGroup
2) Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, autoload
C:\Documents and Settings\_пользователь_\Local Settings\Application Data\ayagbf.exe
[b]Дополнительные алиасы Trojan-Downloader.Win32.Small.hwc[/b]
Downloader.Generic6.AFLG (AVG)
TR/Dldr.Small.hwc (AntiVir)
Trj/Downloader.SIA (Panda)
Trojan.DownLoader.44897 (DrWeb)
TrojanDownloader.Small.hwc (CAT-QuickHeal)
W32/DLoader.FKPZ (Norman)
-
Backdoor.Win32.Agent.ehg, Backdoor.Win32.Agent.eom и Backdoor.Win32.Agent.etc
[b]Алиасы[/b]
Backdoor/Agent.ehg (TheHacker)
Generic9.AXKP (AVG)
Trj/Downloader.SIA (Panda)
Troj/Agent-GNA (Sophos)
Trojan.DownLoader.46268 (DrWeb)
W32/Smalltroj.CQWT (Norman)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17495[/url]
[url]http://virusinfo.info/showthread.php?t=17513[/url]
[url]http://virusinfo.info/showthread.php?t=17522[/url]
[url]http://virusinfo.info/showthread.php?t=17540[/url]
[url]http://virusinfo.info/showthread.php?t=17548[/url]
[url]http://virusinfo.info/showthread.php?t=17919[/url]
[b]Файлы на диске[/b]
c:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
%USERPROFILE%\Local Settings\Application Data\cftmon.exe
c:\windows\system32\drivers\spool.exe
%UserProfile%\ftpdll.dll
C:\WINDOWS\system32\ftpdll.dll
ftpdll.dll детектируются как Trojan-Downloader.Win32.Small.hwc
[b]Способ запуска[/b]
1) Служба: Schedule
Описание: Task Scheduler
C:\WINDOWS\system32\drivers\spool.exe
Группа: SchedulerGroup
2) Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, autoload
C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
3) Ключ реестра HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, autoload
C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
4) Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, ntuser
C:\WINDOWS\system32\drivers\spools.exe
5) Ключ реестра HKEY_CURRENT_USER,
Software\Microsoft\Windows\CurrentVersion\Run, ntuser
C:\WINDOWS\system32\drivers\spools.exe
[b]Отличия Backdoor.Win32.Agent.eom
Алиасы[/b]
Backdoor.Agent.eom (CAT-QuickHeal)
BackDoor.FireOn (DrWeb)
Generic9.BBNJ (AVG)
Troj/Agent-GNA (Sophos)
W32/Agent.EOM!tr.bdr (Fortinet)
W32/Smalltroj.CUKE (Norman)
Win32:Small-JMK (Avast)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18156[/url]
[url]http://virusinfo.info/showthread.php?t=18234[/url]
[url]http://virusinfo.info/showthread.php?t=18273[/url]
[url]http://virusinfo.info/showthread.php?t=18275[/url]
[url]http://virusinfo.info/showthread.php?t=18294[/url]
[b]Отличия Backdoor.Win32.Agent.etc
Алиасы[/b]
BACKDOOR.DIMPY.WIN32VBSY.Q (Prevx1)
SHeur.AVFC (AVG)
TR/Dldr.Small.AAKR.12 (AntiVir)
Trojan.Downloader.Small.AAKR (BitDefender)
Win32/TrojanDownloader.Agent.NVF (NOD32v2)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18779[/url]
[url]http://virusinfo.info/showthread.php?t=18785[/url]
[url]http://virusinfo.info/showthread.php?t=18858[/url]
-
Trojan-PSW.Win32.OnLineGames.qmf, Trojan-PSW.Win32.OnLineGames.qpu, Trojan-PSW.Win32.OnLineGames.qso
[b]Алиасы[/b]
Trojan.MulDrop.6474 (DrWeb)
Trojan/PSW.OnLineGames.qmf (TheHacker)
W32.Gammima.AG (Symantec)
W32/Lineage.HJT.worm (Panda)
W32/NSAnti.GFI (Norman)
Win-Trojan/Autorun.103367 (AhnLab-V3)
Win32/PSW.OnLineGames.NLI (NOD32v2)
[b]Дополнительные алиасы amvo0.dll[/b]
PWS-LegMir.gen.k.dll (McAfee)
Trojan.PWS.Wsgame.2387 (DrWeb)
W32/NSAnti.GEK (Norman)
Win-Trojan/Autorun.54784.E (AhnLab-V3)
Win32/PSW.OnLineGames.NLK (NOD32v2)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17499[/url]
[url]http://virusinfo.info/showthread.php?t=17535[/url]
[url]http://virusinfo.info/showthread.php?t=17558[/url]
[url]http://virusinfo.info/showthread.php?t=17604[/url]
[url]http://virusinfo.info/showthread.php?t=17615[/url]
[url]http://virusinfo.info/showthread.php?t=17638[/url]
[url]http://virusinfo.info/showthread.php?t=17725[/url]
[url]http://virusinfo.info/showthread.php?t=17816[/url]
[url]http://virusinfo.info/showthread.php?t=18859[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
%Temp%\zmcc.dll
autorun.inf и 2ifetri.cmd - на всех дисках в корневой папке
zmcc.dll детектируется как Rootkit.Win32.Agent.yr
[b]Способ запуска[/b]
1. C:\WINDOWS\system32\amvo.exe Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Прописывает запуск через файл AUTORUN.INF в корне основного и съемных дисков.
[b]Внешние проявления [/b](со слов пользователей)
Проводник не показывает скрытые файлы.
Отличия [b]Trojan-PSW.Win32.OnLineGames.qpu
Дополнительные алиасы[/b]
Trj/lineage.HKP (Panda)
Trojan/PSW.OnLineGames.qpu (TheHacker)
VirTool:Win32/Obfuscator.T (Microsoft)
W32/NSAnti.GFV (Norman)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17631[/url]
[url]http://virusinfo.info/showthread.php?t=17634[/url]
[url]http://virusinfo.info/showthread.php?t=17638[/url]
[url]http://virusinfo.info/showthread.php?t=17787[/url]
[url]http://virusinfo.info/showthread.php?t=17843[/url]
[url]http://virusinfo.info/showthread.php?t=17954[/url]
[b]Файлы на диске[/b]
%Temp%\em.dll
188qsm.bat в корне каждого диска.
em.dll детектируется как Trojan-PSW.Win32.OnLineGames.qou
Отличия [b]Trojan-PSW.Win32.OnLineGames.qso
Дополнительные алиасы[/b]
Trj/Lineage.HLA (Panda)
Trojan/PSW.OnLineGames.qso (TheHacker)
W32/NSAnti.GGB (Norman)
Win-Trojan/OnlineGameHack.103404 (AhnLab-V3)
Win32/Frethog.AKC (eTrust-Vet)
[b]amvo0.dll:[/b]
Trojan.Spy-23738 (ClamAV)
TrojanPSW.OnLineGames.qso (CAT-QuickHeal)
W32/NSAnti.GGA (Norman)
Win32/Frethog.AKH (eTrust-Vet)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17635[/url]
[url]http://virusinfo.info/showthread.php?t=17665[/url]
[url]http://virusinfo.info/showthread.php?t=17913[/url]
[url]http://virusinfo.info/showthread.php?t=18577[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
%Temp%\y5o.dll
autorun.inf и x.com - на всех дисках в корневой папке
-
Trojan.Win32.DNSChanger.aum
[b]Алиасы[/b]
DNSChanger.K (AVG)
Trojan.DNSChanger.BX (BitDefender)
Win32.Trojan.DNSChanger.aum (CAT-QuickHeal)
[b]Описание[/b]
Завершает процессы антивирусов. Внедряет свой код в память системных процессов. Сам в списке работающих программ отсутствует.
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16595[/url]
[url]http://virusinfo.info/showthread.php?t=16621[/url]
[url]http://virusinfo.info/showthread.php?t=17684[/url]
[url]http://virusinfo.info/showthread.php?t=17998[/url]
[url]http://virusinfo.info/showthread.php?t=18026[/url]
[b]Файлы на диске[/b]
Файл в папке C:\WINDOWS\system32 со случайным именем из 5 латинских букв, например:
C:\WINDOWS\system32\kdbzh.exe
C:\WINDOWS\system32\kdhpy.exe
C:\WINDOWS\system32\kdecb.exe
76800 байт
[b]Способ запуска[/b]
kd???.exe
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, System
-
Trojan.Win32.ConnectionServices.o
[b]Алиасы[/b]
Adware Generic2.AAXY (AVG)
Adware.BitAcc (DrWeb)
Adware/LinkOptimizer (Panda)
Troj/Dropper-RY (Sophos)
TROJAN.VB.RY (Prevx1)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17540[/url]
[url]http://virusinfo.info/showthread.php?t=17710[/url]
[url]http://virusinfo.info/showthread.php?t=17767[/url]
[url]http://virusinfo.info/showthread.php?t=18518[/url]
[url]http://virusinfo.info/showthread.php?t=18570[/url]
[url]http://virusinfo.info/showthread.php?t=18620[/url]
[url]http://virusinfo.info/showthread.php?t=18755[/url]
[b]Файлы на диске[/b]
C:\Program Files\ConnectionServices\ConnectionServices.dll
420352 байт
[b]Способ запуска[/b]
C:\Program Files\ConnectionServices\ConnectionServices.dll
BHO {6D7B211A-88EA-490c-BAB9-3600D8D7C503}
-
Trojan.Win32.Agent.edu
[b]Алиасы[/b]
Agent.NMR (AVG)
TR/Agent.edu.2 (AntiVir)
Trojan.Agent-12855 (ClamAV)
Trojan.Agent.AGKK (BitDefender)
Trojan.Agent.dyo (CAT-QuickHeal)
Trojan.DoS.Win32.Opdos (Prevx1)
Trojan.Okuks (DrWeb)
Trojan/Agent.edu (TheHacker)
W32/Agent.EDQY (Norman)
W32/Agent.EDU!tr (Fortinet)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16830[/url]
[url]http://virusinfo.info/showthread.php?t=16981[/url]
[url]http://virusinfo.info/showthread.php?t=17670[/url]
[url]http://virusinfo.info/showthread.php?t=17808[/url]
[url]http://virusinfo.info/showthread.php?t=18791[/url]
[b]Файлы на диске[/b]
Файл со случайным именем (base*32.dll) в папке C:\WINDOWS\system32, например:
C:\WINDOWS\system32\baseqhnjm32.dll
C:\WINDOWS\system32\baseoaera32.dll
C:\WINDOWS\system32\basemqai32.dll
C:\WINDOWS\system32\baseqxkha32.dll
24576 байт
[b]Способ запуска[/b]
Прописывает свой автозапуск в реестре оригинальным способом, в ключе [b]Windows[/b] раздела [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems].
Так что при удалениии файла компьютер не может загрузиться в любом режиме.
[b]Примечание[/b]
Антивирус DrWeb (CureIt!) может либо "вылечить" троянскую библиотеку, чтобы она загружалась, но была безвредной, либо удалить, исправив при этом реестр.
Антивирус Касперского может корректно удалить трояна.
Но возможны проблемы из-за того, что постоянно появляются новые модификации.
-
Trojan-Downloader.Win32.Small.iih
[b]Алиасы[/b]
TR/Dldr.Small.iih.1 (AntiVir)
Trojan.DownLoader.46268 (DrWeb)
TrojanDownloader.Small.iih (CAT-QuickHeal)
W32/Small.IIH!tr.dldr (Fortinet)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17685[/url]
[url]http://virusinfo.info/showthread.php?t=17853[/url]
[url]http://virusinfo.info/showthread.php?t=17856[/url]
[url]http://virusinfo.info/showthread.php?t=17865[/url]
[url]http://virusinfo.info/showthread.php?t=18347[/url]
[url]http://virusinfo.info/showthread.php?t=18609[/url]
[b]Файлы на диске[/b]
c:\windows\system32\drivers\spool.exe
%USERPROFILE%\local settings\application data\cftmon.exe
%System%\msftp.dll - детектируется как Trojan-Downloader.Win32.Small.hwc
[b]Способ запуска[/b]
%USERPROFILE%\Local Settings\Application Data\cftmon.exe
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, autoload
C:\WINDOWS\system32\drivers\spool.exe
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, ntuser
-
AdWare.Win32.Virtumonde.gen
[b]Алиасы[/b]
Adware.Virtumonde-587 (ClamAV)
AdWare.Virtumonde.dnn (CAT-QuickHeal)
AdWare.Win32.Agent.zpb (Rising)
Lop (AVG)
Spyware/Virtumonde (Panda)
TR/Vundo.DWB (AntiVir)
Troj/Virtum-Gen (Sophos)
Trojan-Downloader.Win32.ConHook.gen (Sunbelt)
Trojan:Win32/Vundo.X (Microsoft)
Trojan.Metajuan (Symantec)
Trojan.Virtumod.260 (DrWeb)
Trojan.Vundo.DWB (BitDefender)
Vundo.gen56 (F-Secure)
W32/Virtumonde.PM (F-Prot)
Win32:TratBHO (Avast)
Win32/Adware.SecToolbar (NOD32v2)
[b]Описание[/b]
Устанавливается вредоносными программами или скачивается с вредоносных сайтов с использованием эксплойтов для Internet Explorer.
Функционирует как модуль системных процессов winlogon.exe, lsass.exe и др.
Завершает работу антивирусных программ. Скачивает программы из Интернета.
Показывает рекламу при посещении определенных веб-сайтов.
Источники:
[url]http://www.sophos.com/virusinfo/analyses/trojvirtumgen.html[/url]
[url]http://www.symantec.com/security_response/writeup.jsp?docid=2007-030112-0714-99&tabid=2[/url] (анг.)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16155[/url]
[url]http://virusinfo.info/showthread.php?t=16324[/url]
[url]http://virusinfo.info/showthread.php?t=16346[/url]
[url]http://virusinfo.info/showthread.php?t=16362[/url]
[url]http://virusinfo.info/showthread.php?t=16496[/url]
[url]http://virusinfo.info/showthread.php?t=16840[/url]
[url]http://virusinfo.info/showthread.php?t=17466[/url]
[url]http://virusinfo.info/showthread.php?t=17710[/url]
[url]http://virusinfo.info/showthread.php?t=17785[/url]
[url]http://virusinfo.info/showthread.php?t=17953[/url]
[url]http://virusinfo.info/showthread.php?t=17974[/url]
[url]http://virusinfo.info/showthread.php?t=17985[/url]
[url]http://virusinfo.info/showthread.php?t=18159[/url]
[url]http://virusinfo.info/showthread.php?t=18295[/url]
[url]http://virusinfo.info/showthread.php?t=18839[/url]
[b]Файлы на диске[/b]
dll файл со случайным именем из латинских букв в папке C:\WINDOWS\system32
Например:
C:\WINDOWS\system32\utqgukka.dll
C:\WINDOWS\System32\mllmj.dll
[b]Способ запуска[/b]
BHO, CLSID случайный.
-
[quote=AndreyKa;180919]Ползучая эпидемия продолжается.
[/quote]
Я добавил в AVZ эвристику для детекта описанных выше зверей семейства [B]Worm.Win32.AutoRun.*[/B], обновление баз с этой фичей выйдет завтра
-
Trojan-Downloader.Win32.Agent.ici
[b]Алиасы[/b]
PSW.Generic5.AIDA (AVG)
Rootkit/Spammer.AGA (Panda)
Spy-Agent.bv (McAfee)
Troj/Pushu-Gen (Sophos)
Trojan-Downloader.Agent.ZAR (Sunbelt)
Trojan.Downloader-22556 (ClamAV)
Trojan.Nudos (Prevx1)
Trojan.Pandex.AD (BitDefender)
Trojan.Rntm (DrWeb)
Trojan/Downloader.Agent.ici (TheHacker)
VirTool:WinNT/Cutwail.F (Microsoft)
W32/Agent.EETK (Norman)
W32/Agent.ZAR!tr.dldr (Fortinet)
Win-Trojan/Agent.25472 (AhnLab-V3)
Win32/Wigon.AV (NOD32v2)
Worm.Ntech.sd (CAT-QuickHeal)
Worm/Ntech.Z.4 (AntiVir)
[b]Описание[/b]
Прописывет себя в реестр для повторного запуска.
Загружает вредоносные программы из сети Интернет и устанавливает их на компьютер.
Понижает уровень защиты системы безопасности.
Функционирует как модуль пространства ядра.
[url]http://www.sophos.com/virusinfo/analyses/trojpushugen.html[/url] (анг.)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17454[/url]
[url]http://virusinfo.info/showthread.php?t=17707[/url]
[url]http://virusinfo.info/showthread.php?t=17882[/url]
[b]Файлы на диске[/b]
sys файл в папке C:\WINDOWS\System32\Drivers со случайным именем из трех латинских букв и двух цифр. Например:
C:\WINDOWS\System32\Drivers\Nsf45.sys
C:\WINXP\system32\Drivers\Vch17.sys
[b]Способ запуска[/b]
Драйвер с именем как у файла.
Группа: SCSI Class
[b]Внешние проявления [/b](со слов пользователей)
Процесс svchost.exe постоянно требует связи с разнообразными адресами.
-
Trojan-Proxy.Win32.Agent.xo
[b]Алиасы[/b]
Agent.NHU (AVG)
Backdoor:WinNT/Nuwar.D!sys (Microsoft)
Proxy.Agent.xo (Ewido)
TR/Proxy.Agent.XO (AntiVir)
Trj/Spammer.AFM (Panda)
Troj/Tibs-TX (Sophos)
Trojan.Peed.IUO (BitDefender)
Trojan.Proxy-2401 (ClamAV)
Trojan.Spambot.2887 (DrWeb)
Trojan.Win32.Undef.cft (Rising)
Trojan/Proxy.Agent.xo (TheHacker)
TrojanProxy.Agent.xo (CAT-QuickHeal)
W32/Agent.XO!tr (Fortinet)
W32/Tibs.BIGD (Norman)
Win32/TrojanProxy.Agent.XH (NOD32v2)
[b]Описание[/b]
Работает в паре с вредоносным файлом taskmon.exe
Отключает антивирусы.
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17587[/url]
[url]http://virusinfo.info/showthread.php?t=17830[/url]
[url]http://virusinfo.info/showthread.php?t=18026[/url]
[url]http://virusinfo.info/showthread.php?t=19417[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\taskmon.sys
18368 байт
[b]Способ запуска[/b]
Драйвер: taskmon.sys
-
Trojan.Win32.Agent.asu
[b]Алиасы[/b]
Generic5.NVS (AVG)
Hacktool.Rootkit (Symantec)
NTRootKit-J (McAfee)
Rootkit/Agysteo.Q (Panda)
TR/Agent.asu.1 (AntiVir)
Troj/NtRootK-CA (Sophos)
Trojan.Agent-7047 (ClamAV)
Trojan.Agent.ABGK (BitDefender)
Trojan.Agent.asu (Ewido)
Trojan.NtRootKit.312 (DrWeb)
TROJAN.ROOTKIT.L (Prevx1)
Trojan.Win32.Agent.tsn (Rising)
Trojan/Agent.asu (TheHacker)
VirTool:WinNT/Smallrk.F (Microsoft)
W32/Agent.ASU!tr (Fortinet)
W32/Agent.BXAD (Norman)
W32/Trojan.BKOF (F-Prot)
Win-Trojan/Rootkit.7923 (AhnLab-V3)
Win32:Agent-KDC (Avast)
Win32.Agent.asu (eSafe)
Win32/Fledib.A (eTrust-Vet)
Win32/Rootkit.Agent.NCR (NOD32v2)
[b]Описание[/b]
Функционирует как модуль пространства ядра.
Перехватывает Функции ядра. Используется другими вредоносными программами для сокрытия своего присутствия в системе.
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16768[/url]
[url]http://virusinfo.info/showthread.php?t=17755[/url]
[url]http://virusinfo.info/showthread.php?t=18009[/url]
[url]http://virusinfo.info/showthread.php?t=19212[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\DefLib.sys
7923 байт.
-
Trojan-Downloader.Win32.Winlagons.a
[b]Алиасы[/b]
a variant of Win32/TrojanDownloader.Tiny.NJ (NOD32v2)
Downloader.Generic6.AIIC (AVG)
Trj/Downloader.SOQ (Panda)
Trojan-Downloader.Small.AAJM (Sunbelt)
Trojan.DownLoader.47222 (DrWeb)
Trojan.Downloader.Small.AAJM (BitDefender)
Trojan/Downloader.Small.gen (TheHacker)
TrojanDownloader:Win32/Tipikit.B (Microsoft)
TrojanDownloader.Winlagons.a (CAT-QuickHeal)
Win-Trojan/Downloader.6144.ND (AhnLab-V3)
[b]Описание[/b]
При запуске создает и запускает службу "Google Online Search Service" для копии своего файла.
Прописывает также службу в ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 для предотвращения своего удаления выбором последней удачной конфигурации при запуске Windows.
Скачивает с домена bulletproofstuff.com файл с ссылками на вредоносные файлы. На данный момент по этим ссылкам (сайты 58.65.239.42 и 0ci.ru) находятся:
Trojan-Proxy.Win32.Xorpix.cu
Trojan-Proxy.Win32.Saturn.al
Trojan-Downloader.Win32.Small.cib
Email-Worm.Win32.Zhelatin.vg
Trojan.Win32.Small.afy
Trojan-Downloader.Win32.Agent.jea
AdWare.Win32.BHO.aaw
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17998[/url]
[url]http://virusinfo.info/showthread.php?t=17999[/url]
[url]http://virusinfo.info/showthread.php?t=18014[/url]
[b]Файлы на диске[/b]
%UserProfile%\ie_updates3r.exe
c:\windows\system32\winlagons.exe
6144 байт
[b]Способ запуска[/b]
Служба: Google Online Search Service
Описание: Google Online Search Service
C:\WINDOWS\system32\winlagons.exe
-
Trojan.Win32.Agent.eub
[b]Алиасы[/b]
Downloader.Generic_c.ML (AVG)
TR/Agent.eub.1 (AntiVir)
Trj/Agent.IAB (Panda)
Troj/Agent-GPK (Sophos)
Trojan.Agent.AGVF (BitDefender)
Trojan.Agent.eub.1 (Webwasher-Gateway)
Trojan.DL.Wigon.Gen.6 (VirusBuster)
Trojan.DoS.Win32.Opdos (Prevx1)
Trojan.DownLoader.46414 (DrWeb)
Trojan/Agent.eub (TheHacker)
W32/Agent.EGFQ (Norman)
W32/Agent.EUB!tr (Fortinet)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17853[/url]
[url]http://virusinfo.info/showthread.php?t=17882[/url]
[url]http://virusinfo.info/showthread.php?t=18014[/url]
[url]http://virusinfo.info/showthread.php?t=18064[/url]
[url]http://virusinfo.info/showthread.php?t=18174[/url]
[url]http://virusinfo.info/showthread.php?t=18832[/url]
[url]http://virusinfo.info/showthread.php?t=19295[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\LogCrypt.dll
8704 байт
[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\LogCrypt,
DLLName LogCrypt.dll
-
Trojan.Win32.Agent.fdn, Trojan-Dropper.Win32.Agent.elj и Trojan.Win32.Buzus.lj
[b]Алиасы[/b]
TR/Agent.fdn (AntiVir)
Trojan.Agent.fdn (CAT-QuickHeal)
Trojan.Small-5027 (ClamAV)
Trojan.Spambot.2384 (DrWeb)
W32/Agent.FDN!tr (Fortinet)
Win32/TrojanProxy.Small.NAR (NOD32v2)
[b]Дополнительные алиасы для Trojan-Dropper.Win32.Agent.elj[/b]
TR/Drop.Agent.elj (AntiVir)
Trojan.Drop.Agent.elj (Webwasher-Gateway)
Trojan.Dropper.Rootkit.NBR (BitDefender)
Trojan/Dropper.Agent.elj (TheHacker)
TrojanDropper.Agent.elj (CAT-QuickHeal)
W32/Agent.ELJ!tr (Fortinet)
[b]Дополнительные алиасы для Trojan.Win32.Buzus.lj[/b]
LdPinch.STT (Norman)
Trojan.Agent-11935 (ClamAV)
Trojan.Agent.dvf (CAT-QuickHeal)
Trojan.DL.Win32.Agent.bxw (Rising)
Trojan.Packed.147 (DrWeb)
Trojan.PSW.LdPinch.AKX (BitDefender)
Trojan.Win32.Agent.dvf (VBA32)
Trojan/Agent.dvf (TheHacker)
W32/Agent.DVF!tr (Fortinet)
Win-Trojan/Buzus.42496 (AhnLab-V3)
[b]Описание[/b]
Имеет возможности отправки email по протоколу SMTP.
Внедряет програмный код в процесс explorer.exe
Устанавливает в систему вредоносный драйвер режима ядра (Trojan.Win32.Agent.asu)
[b]Trojan.Win32.Agent.fdn встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17817[/url]
[url]http://virusinfo.info/showthread.php?t=17865[/url]
[url]http://virusinfo.info/showthread.php?t=18034[/url]
[b]Trojan-Dropper.Win32.Agent.elj:[/b]
[url]http://virusinfo.info/showthread.php?t=17998[/url]
[url]http://virusinfo.info/showthread.php?t=18014[/url]
[url]http://virusinfo.info/showthread.php?t=18074[/url]
[b]Trojan.Win32.Buzus.lj:[/b]
[url]http://virusinfo.info/showthread.php?t=16358[/url]
[url]http://virusinfo.info/showthread.php?t=17164[/url]
[url]http://virusinfo.info/showthread.php?t=18172[/url]
[b]Trojan-Proxy.Win32.Agent.xp:[/b]
[b]Алиасы[/b]
Backdoor.Win32.Small.lu (Sunbelt)
Generic9.AULI (AVG)
NTRootKit-J (McAfee)
Proxy.Agent.xp (Ewido)
Trojan.Packed.147 (DrWeb)
Trojan.Proxy-2376 (ClamAV)
Trojan/Proxy.Agent.xp (TheHacker)
TrojanProxy.Agent.xp (CAT-QuickHeal)
Virus:Win32/Grum.E (Microsoft)
W32/Agent.ECZC (Norman)
Win-Trojan/OnlineGameHack.35840.E (AhnLab-V3)
Win32:Agent-SMZ (Avast)
Win32.Agent.xp (eSafe)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17220[/url]
[url]http://virusinfo.info/showthread.php?t=17315[/url]
[url]http://virusinfo.info/showthread.php?t=18694[/url]
[b]Файлы на диске[/b]
%UserProfile%\Local Settings\Temp\winlogon.exe
39424 байт или 42496 байт для Trojan.Win32.Buzus.lj
Может распологатся в другом месте, там куда указывает переменная %Temp%
Создает файл:
C:\Windows\System32\DefLib.sys - детектируется как Trojan.Win32.Agent.asu
[b]Способ запуска[/b]
Ключ реестра HKEY_CURRENT_USER,
Software\Microsoft\Windows\CurrentVersion\Run,
Firewall auto setup
-
Worm.Win32.AutoRun.cmc, Trojan-PSW.Win32.OnLineGames.rbj и Worm.Win32.AutoRun.cpq
[b]Алиасы[/b]
PWS-LegMir.gen.k (McAfee)
PWS:Win32/OnLineGames.CSE (Microsoft)
Trojan.Autorun-193 (ClamAV)
Trojan.MulDrop.6474 (DrWeb)
W32/AutoRun.BPK (Norman)
W32/AutoRun.cmc (TheHacker)
W32/Lineage.HLY.worm (Panda)
Win32/Frethog.AKM (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
[b]Описание[/b]
Червь распространяющийся копированием самого себя на сменные носители. Похищает пароли к различным интернет-играм.
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17164[/url]
[url]http://virusinfo.info/showthread.php?t=17920[/url]
[url]http://virusinfo.info/showthread.php?t=18057[/url]
[url]http://virusinfo.info/showthread.php?t=18081[/url]
[url]http://virusinfo.info/showthread.php?t=19149[/url]
[b]Файлы на диске[/b]
C:\0hct8ybw.bat
C:\autorun.inf
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
C:\WINDOWS\system32\amvo.exe
%Temp%\i2ir.dll
autorun.inf и 0hct8ybw.bat - на всех дисках в корневой папке
[b]Способ запуска[/b]
1. Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
Отличия [b]Trojan-PSW.Win32.OnLineGames.rbj[/b]
[b]Дополнительные алиасы для Trojan-PSW.Win32.OnLineGames.rbj[/b]
Trj/Lineage.HMG (Panda)
Trojan/PSW.OnLineGames.rbj (TheHacker)
VirTool:Win32/Obfuscator.T (Microsoft)
W32/NSAnti.GJA (Norman)
Win32/Frethog.AKR (eTrust-Vet)
[b]amvo0.dll[/b]
Trojan.PWS.Wsgame.2387 (DrWeb)
TrojanPSW.OnLineGames.rbj (CAT-QuickHeal)
W32.Gammima.AG (Symantec)
W32/OnLineGames.AKLI (Norman)
Win32/PSW.OnLineGames.NLK (NOD32v2)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18057[/url]
[url]http://virusinfo.info/showthread.php?t=18102[/url]
[url]http://virusinfo.info/showthread.php?t=18157[/url]
[b]Файлы на диске[/b]
C:\x.com
%Temp%\dsr8q.dll
autorun.inf детектируется как Worm.Win32.AutoRun.cnw
Отличия [b]Trojan-PSW.Win32.OnLineGames.rbj
Дополнительные алиасы для Worm.Win32.AutoRun.cpq[/b]
Mal/EncPk-CE (Sophos)
Trojan.Lineage.Gen!Pac.3 (VirusBuster)
Trojan.PSW.Win32.GamesOnline.nm (Rising)
W32/NSAnti.GNC (Norman)
Worm/Generic.FYT (AVG)
[b]amvo0.dll[/b]
Trojan.PWS.Wsgame.3434 (DrWeb)
W32/NSAnti.GNE (Norman)
Win32/PSW.OnLineGames.NMP (NOD32v2)
Встречен в темах
[url]http://virusinfo.info/showthread.php?t=15961[/url]
[url]http://virusinfo.info/showthread.php?t=18321[/url]
[url]http://virusinfo.info/showthread.php?t=18438[/url]
Файлы на диске
C:\gumkrhf.bat
%Temp%\l4rq2a7.dll
[b]Trojan-PSW.Win32.OnLineGames.rmm[/b]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18321[/url]
[url]http://virusinfo.info/showthread.php?t=18384[/url]
[url]http://virusinfo.info/showthread.php?t=18449[/url]
[b]Файлы на диске[/b]
C:\oufddh.exe
[b]Trojan-PSW.Win32.OnLineGames.qip
Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17382[/url]
[url]http://virusinfo.info/showthread.php?t=17455[/url]
[url]http://virusinfo.info/showthread.php?t=18439[/url]
[b]Файлы на диске[/b]
C:\h.cmd
[b]Trojan-PSW.Win32.OnLineGames.rpy
Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18504[/url]
[url]http://virusinfo.info/showthread.php?t=18514[/url]
[url]http://virusinfo.info/showthread.php?t=18516[/url]
[url]http://virusinfo.info/showthread.php?t=18646[/url]
[b]Файлы на диске[/b]
C:\oufddh.exe
-
Trojan-Downloader.Win32.Small.ilt
[b]Алиасы[/b]
Backdoor.SDBot.DFCV (BitDefender)
Lop.BG (Prevx1)
Trojan.DownLoader.38518 (DrWeb)
TrojanDownloader.Small.ilt (CAT-QuickHeal)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18156[/url]
[url]http://virusinfo.info/showthread.php?t=18234[/url]
[url]http://virusinfo.info/showthread.php?t=18294[/url]
[url]http://virusinfo.info/showthread.php?t=18445[/url]
[url]http://virusinfo.info/showthread.php?t=18473[/url]
[url]http://virusinfo.info/showthread.php?t=19174[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\sysfldr.dll
14336 байт
[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sysfldr, DLLName
sysfldr.dll
-
Trojan-Downloader.Win32.Agent.jgt
[b]Алиасы[/b]
Bck/Spambot.G (Panda)
Generic9.AZND (AVG)
TR/Dldr.Agent.jgt (AntiVir)
Trojan.Agent.6144.156 (Webwasher-Gateway)
Trojan.DownLoader.38520 (DrWeb)
Trojan/Downloader.Agent.jgt (TheHacker)
TrojanDownloader.Agent.jgt (CAT-QuickHeal)
W32/Malware.CCAM (Norman)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18262[/url]
[url]http://virusinfo.info/showthread.php?t=18343[/url]
[url]http://virusinfo.info/showthread.php?t=18483[/url]
[url]http://virusinfo.info/showthread.php?t=19545[/url]
[b]Файлы на диске[/b]
exe файл в временной папке, имя начинается с [b]win[/b] и заканчивается несколькими случайными латинскими буквами. Например:
C:\DOCUME~1\user\LOCALS~1\Temp\wineuje.exe
[b]Способ запуска[/b]
Ключ реестра HKEY_CURRENT_USER,
Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell
"Explorer.exe "C:\DOCUME~1\user\LOCALS~1\Temp\win????.exe""
-
Trojan-Downloader.Win32.Diehard.dr
[b]Алиасы[/b]
BackDoor.Generic9.EFP (AVG)
Rkit/Agent.DQ.31.A (AntiVir)
Rootkit.Agent.DQ.31.A (Webwasher-Gateway)
Rootkit.Agent.DQ.A (Sunbelt)
Rootkit.Agent.pr (Ewido)
Rootkit.Pandex.Gen.2 (VirusBuster)
Rootkit.Win32.Agent.pr (VBA32)
Rootkit/Agent.HML (Panda)
Troj/Agent-GIS (Sophos)
Trojan.Kobcka.BE (BitDefender)
Trojan.NtRootKit.497 (DrWeb)
Trojan.Pandex (Symantec)
Trojan.Rootkit-286 (ClamAV)
Trojan.Win32.Undef.cz (Rising)
Trojan/Agent.pr (TheHacker)
VirTool:WinNT/Cutwail.C (Microsoft)
W32/Pushu.PR!tr (Fortinet)
W32/Smalltroj.CDMZ (Norman)
Win-Trojan/Rootkit.7680.F (AhnLab-V3)
Win32:Agent-NJB (Avast)
Win32/Cutwail!generic (eTrust-Vet)
Win32/Rootkit.Agent.DP (NOD32v2)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16089[/url]
[url]http://virusinfo.info/showthread.php?t=17685[/url]
[url]http://virusinfo.info/showthread.php?t=17707[/url]
[url]http://virusinfo.info/showthread.php?t=18506[/url]
[url]http://virusinfo.info/showthread.php?t=18694[/url]
[url]http://virusinfo.info/showthread.php?t=18937[/url]
[url]http://virusinfo.info/showthread.php?t=19580[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
29056 байт
Файл трояна заменяет собой существующий системный файл.
[b]Способ запуска[/b]
Драйвер.
Описание: Драйвер брандмауэра Windows для IPv6
C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
-
Rootkit.Win32.Agent.vn
[b]Алиасы[/b]
BackDoor.Generic9.OBZ (AVG)
Generic.dx (McAfee)
Infostealer.Ldpinch.C (Symantec)
Rkit/Agent.VN (AntiVir)
Rootkit.Agent.vn (Ewido)
Trojan.NtRootKit.815 (DrWeb)
Trojan/Agent.vn (TheHacker)
VirTool:WinNT/Chksyn.A (Microsoft)
W32/Agent.VN!tr.rkit (Fortinet)
W32/Rootkit.CQB (Norman)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17885[/url]
[url]http://virusinfo.info/showthread.php?t=18538[/url]
[url]http://virusinfo.info/showthread.php?t=18609[/url]
[b]Файлы на диске[/b]
C:\Program Files\Common Files\System\winmgt32k.dll
и
C:\Program Files\Common Files\System\sysvideo32.dll
2816 байт
[b]Способ запуска[/b]
Драйвер с именем как у файла: winmgt32k или sysvideo32
Функционирует как модуль пространства ядра.
[b]Примечание[/b]
Детектируется AVZ, но при сканировании со стандартными настройками не удаляется:
[quote]
3. Сканирование дисков
C:\Program Files\Common Files\System\sysvideo32.dll >>>>> Rootkit.Win32.Agent.vn удаление запрещено настройкой
[/quote]
-
[quote=AndreyKa;192508]
[B]Trojan-Downloader.Win32.Diehard.dr[/B]
....
[B]Файлы на диске[/B]
C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
29056 байт
Файл трояна заменяет собой существующий системный файл.
[B]Способ запуска[/B]
Драйвер.
Описание: Драйвер брандмауэра Windows для IPv6
C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys[/quote]
Данные из моей базы: такой подменненный файл может также детектироваться как Rootkit.Win32.Agent.pr, Rootkit.Win32.Agent.dp, Trojan-Downloader.Win32.Agent.acl.
-
Trojan-Spy.Win32.Goldun.wp и Rootkit.Win32.Agent.abc
[b]Описание[/b]
Ворует логины и пароли.
Trojan-Spy.Win32.Goldun.wp содержит список доменов с антивирусных компаний (видимо для блокирования обновлений антивирусов).
Rootkit.Win32.Agent.abc содержит строку avz.exe, то есть пытается противодействовать лечению с помощью этой утилиты.
[b]Встречены в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18297[/url]
[url]http://virusinfo.info/showthread.php?t=18340[/url]
[url]http://virusinfo.info/showthread.php?t=18672[/url]
[b]Алиасы Trojan-Spy.Win32.Goldun.wp[/b]
Generic.Malware.SFYdlwdld.08A1552D (BitDefender)
Generic9.BCLQ (AVG)
Logger.Goldun.wp (Ewido)
TR/Agent.22441 (AntiVir)
Trj/ProxyServer.BA (Panda)
Trojan.Agent.22441 (Webwasher-Gateway)
Trojan.PWS.GoldSpy (DrWeb)
Trojan/Spy.Goldun.wp (TheHacker)
TrojanSpy:Win32/Goldun.gen!dll (Microsoft)
TrojanSpy.Goldun.wp (CAT-QuickHeal)
Win-Trojan/Goldun.22441 (AhnLab-V3)
Win32/Spy.Goldun.WP (NOD32v2)
[b]Файлы на диске[/b]
C:\WINDOWS\system32\alcomt.dll
22441 байт
[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\alcomt, DLLName
[b]Алиасы Rootkit.Win32.Agent.abc[/b]
BackDoor.Generic9.UNZ (AVG)
Rootkit.Agent.abc (CAT-QuickHeal)
Trj/ProxyServer.BA (Panda)
Trojan/Agent.abc (TheHacker)
VirTool:WinNT/HideDrv.gen!A (Microsoft)
W32/Goldun.gen3 (F-Prot)
W32/Rootkit.DJX (Norman)
Win32/Spy.Goldun.WP (NOD32v2)
[b]Файлы на диске[/b]
C:\WINDOWS\system32\alcom.sys
8416 байт
[b]Способ запуска[/b]
Драйвер: alcom
Описание: ALcom server
C:\WINDOWS\system32\alcom.sys
[b]Внешние проявления [/b](со слов пользователей)
В нормальном режиме антивирусы не запускаются.
В нормальном режиме не виден сам avz.exe.
-
Trojan.Win32.Pakes.cdw
[b]Алиасы[/b]
BZub.ARU (Norman)
Downloader.Delf.12.AK (AVG)
TR/BHO.agz.9 (AntiVir)
Trj/Downloader.RKS (Panda)
Troj/BHO-EL (Sophos)
Trojan-Spy.Bzub.NGP (Sunbelt)
Trojan:Win32/Boaxxe.C (Microsoft)
Trojan.BHO-1189 (ClamAV)
Trojan.BHO.agz (Ewido)
Trojan.DownLoader.38058 (DrWeb)
Trojan.Spy.Bzub.NGP (BitDefender)
Trojan/BHO.agz (TheHacker)
W32/BHO.AGZ!tr (Fortinet)
Win32: Pakes-AKM (Avast)
Win32/BHO.AGZ (NOD32v2)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18332[/url]
[url]http://virusinfo.info/showthread.php?t=18438[/url]
[url]http://virusinfo.info/showthread.php?t=18773[/url]
[url]http://virusinfo.info/showthread.php?t=19073[/url]
[url]http://virusinfo.info/showthread.php?t=19298[/url]
[b]Файлы на диске[/b]
dll файл в системной папке с различными именами, например:
c:\windows\system32\iassvc.dll
c:\windows\system32\adsld.dll
C:\WINDOWS\system32\asycfil.dll
C:\WINDOWS\system32\appmg.dll
[b]Способ запуска[/b]
BHO, CLSID случайный.
-
Backdoor.Win32.Agent.eqw и Rootkit.Win32.Agent.abo
[b]Алиасы[/b]
Backdoor.Agent.eqw (CAT-QuickHeal)
BackDoor.Agent.QTQ (AVG)
Generic BackDoor.t (McAfee)
Generic.Malware.SFYdlwdld.800CFBB7 (BitDefender)
TR/Agent.22447 (AntiVir)
Trojan.PWS.GoldSpy (DrWeb)
W32/Agent.EIZE (Norman)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18530[/url]
[url]http://virusinfo.info/showthread.php?t=18779[/url]
[url]http://virusinfo.info/showthread.php?t=18867[/url]
[url]http://virusinfo.info/showthread.php?t=19022[/url]
[url]http://virusinfo.info/showthread.php?t=19407[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\mplink.dll
22447 байт
Создает папку install_temp_318
Устанавливает в систему драйвер fprot.sys - [b]Rootkit.Win32.Agent.abo[/b]
[b]Способ запуска[/b]
1. Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mplink, DLLName
mplink.dll
2. Драйвер fprot
C:\WINDOWS\system32\fprot.sys
Описание: FT StarForce Protector
[b]Внешние проявления [/b](со слов пользователей)
Когда запускаешь любой .EXE или .RAR файл создается папка install_temp_318 в этой дериктории откуда запускается файл.
При распаковке AVZ, в папке куда распаковывал в норм режиме нету exe файла, в безопасном есть.
-
Virus.Win32.Sality.s
[b]Алиасы[/b]
Email-Worm.Win32.Warezov.et (Sunbelt)
I-Worm.Warezov.et (CAT-QuickHeal)
I-Worm/Stration.BOC (AVG)
W32.HLLP.Sality (Symantec)
W32/Sality-AD (Sophos)
W32/Sality.AF (F-Prot)
W32/Sality.dll (McAfee)
W32/Sality.Y (Panda)
W32/Saltiy.S (AntiVir)
W32/Stration.EFZ (Norman)
W32/Stration.ET@mm (Fortinet)
W32/Warezov.et (TheHacker)
Win-Trojan/Sality.40960 (AhnLab-V3)
Win32:KillAV-CP (Avast)
Win32.Sality.m (Rising)
Win32.Sector.28682 (DrWeb)
Win32.Warezov.ET@mm (BitDefender)
Win32/Sality.NAM (NOD32v2)
Win32/Sality.S (eTrust-Vet)
Worm:Win32/Sality.T.dll (Microsoft)
Worm.Stration.XR-1 (ClamAV)
Worm.Warezov.et (Ewido)
[b]Дополнительные алиасы драйвера[/b]
Generic3.KXG (AVG)
TR/Drop.Warezov.A.1 (AntiVir)
Trojan.Ipsof (DrWeb)
Trojan/Sality.s (TheHacker)
VirTool:Win32/Rootkit.C (Microsoft)
W32/Rootkit.D!tr (Fortinet)
W32/Sality.W (Norman)
W32/Sality.X.drp (Panda)
Win-Trojan/Sality.5477 (AhnLab-V3)
Win32.Warezov.96 (BitDefender)
Worm.Sality.s (CAT-QuickHeal)
[b]Описание[/b]
Файловый вирус заражет файлы с расширениями .EXE и .SCR. Записывает нажимаемые пользователем клавиши. Затем отправляет эти записи по электронной почте.
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17573[/url]
[url]http://virusinfo.info/showthread.php?t=18343[/url]
[url]http://virusinfo.info/showthread.php?t=18854[/url]
[url]http://virusinfo.info/showthread.php?t=19369[/url]
[url]http://virusinfo.info/showthread.php?t=19545[/url]
[b]Файлы на диске[/b]
Заражает выполняемые файлы. Кроме этого создает свои:
c:\windows\system32\wmdrtc32.dll
40960 байт
C:\WINDOWS\system32\drivers\_случайное_имя_.sys
5477 байт
[b]Способ запуска[/b]
1. Через зараженный файл.
2. Драйвер: NdisFileServices32
Описание: NdisFileServices32
C:\WINDOWS\system32\drivers\_случайное_имя_.sys
[b]Внешние проявления [/b](со слов пользователей)
Нарушается работа антивирусных програм, их файлы удаляются. Доступ к сайтам антивирусных компаний заблокирован.
-
Hoax.Win32.Renos.awn
[b]Алиасы[/b]
Generic9.BELN (AVG)
Hoax.Renos.awn (CAT-QuickHeal)
Troj/Agent-GQQ (Sophos)
Trojan.Fakealert.438 (DrWeb)
Trojan.FakeAlert.PZ (BitDefender)
Win32/Adware.SpyKillerPro (NOD32v2)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18791[/url]
[url]http://virusinfo.info/showthread.php?t=18899[/url]
[url]http://virusinfo.info/showthread.php?t=18949[/url]
[url]http://virusinfo.info/showthread.php?t=18950[/url]
[url]http://virusinfo.info/showthread.php?t=19121[/url]
[b]Файлы на диске[/b]
%Temp%\~~install.dll
13312 байт
[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler,
CLSID: {24E31EA9-FCE2-404F-BD80-20543565D946}
[b]Внешние проявления [/b](со слов пользователей)
Сообщения о том, что компьютер заражен Trojan.SpyAgent.Da
-
Trojan.Win32.Zapchast.dt
[b]Алиасы[/b]
Generic9.APXO (AVG)
TR/Zapchast.DT.1 (AntiVir)
Trj/ZapChast.DO (Panda)
Trojan.Starter.341 (DrWeb)
Trojan.Zachpast-37 (ClamAV)
Trojan/Zapchast.dt (TheHacker)
W32/Zapchast.BEC (Norman)
W32/Zapchast.DT!tr (Fortinet)
W32/Zapchast.K (F-Prot)
Win-Trojan/Zapchast.7168.C (AhnLab-V3)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17710[/url]
[url]http://virusinfo.info/showthread.php?t=18194[/url]
[url]http://virusinfo.info/showthread.php?t=18962[/url]
[url]http://virusinfo.info/showthread.php?t=19004[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\System32\windows
файл с именем без расширения 7168 байт
[b]Способ запуска[/b]
Служба: MSControlService
Описание: Microsoft cache control
Файл: C:\WINDOWS\System32\windows
-
Trojan-Downloader.Win32.Agent.kep
[b]Алиасы[/b]
Trojan.DownLoader.49451 (DrWeb)
TrojanDropper:Win32/Cutwail.Y (Microsoft)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18937[/url]
[url]http://virusinfo.info/showthread.php?t=18982[/url]
[url]http://virusinfo.info/showthread.php?t=18986[/url]
[url]http://virusinfo.info/showthread.php?t=19023[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\WLCtrl32.dll
11776 байт
[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32, DLLName
WLCtrl32.dll
-
Rootkit.Win32.Agent.px
[b]Алиасы[/b]
BackDoor.Generic9.FHC (AVG)
Rootkit.Agent.px (Ewido)
Troj/RKAgen-Fam (Sophos)
Trojan:Win32/Srizbi.gen (Microsoft)
Trojan.Rootkit-264 (ClamAV)
Trojan.Sentinel (DrWeb)
Trojan.Srizbi (Symantec)
Trojan/Agent.px (TheHacker)
W32/RKAgen.PX!tr.rkit (Fortinet)
W32/Rootkit.AVX (Norman)
Win-Trojan/RootKit.185344 (AhnLab-V3)
Win32:Srizbi (Avast)
Win32/Rootkit.Agent.HU (NOD32v2)
[b]Описание[/b]
Функционирует как драйвер пространства ядра.
Запускается и в безопасном режиме. Успешно маскируется от AVZ - отсутствует в списке установленных драйверов.
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16257[/url]
[url]http://virusinfo.info/showthread.php?t=17455[/url]
[url]http://virusinfo.info/showthread.php?t=18940[/url]
[url]http://virusinfo.info/showthread.php?t=18999[/url]
[b]Файлы на диске[/b]
Файл с расширением sys и случайным именем из 3-4х латинских букв и двух цифр в папке c:\windows\system32\drivers
Например: c:\windows\system32\drivers\Cprk72.sys
185344 байт
[b]Способ запуска[/b]
Драйвер.
[b]Внешние проявления [/b](со слов пользователей)
При подключении к сети через пару минут начинает быстро уходить трафик, в обе стороны, но от меня раза в 2-3 больше.
-
Rootkit.Win32.Agent.pq
[b]Алиасы[/b]
BackDoor.Generic9.EAP (AVG)
Rootkit.Agent.pq (Ewido)
Rootkit.Win32.Agent. (eSafe)
Spy-Agent.bv.sys (McAfee)
Troj/RKRun-Gen (Sophos)
Trojan:WinNT/Cutwail.A!sys (Microsoft)
Trojan.Kobcka.AY (BitDefender)
Trojan.NtRootKit.496 (DrWeb)
Trojan.Pandex (Symantec)
Trojan.Rootkit-256 (ClamAV)
Trojan/Agent.pn (TheHacker)
W32/Agent.PN!tr.rkit (Fortinet)
W32/Rootkit.AIO (F-Prot)
Win32:Small-EPJ (Avast)
Win32/Rootkit.Agent.EY (NOD32v2)
[b]Описание[/b]
Функционирует как модуль пространства ядра.
Встречается вместе с трояном C:\WINDOWS\Temp\startdrv.exe
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16270[/url]
[url]http://virusinfo.info/showthread.php?t=18506[/url]
[url]http://virusinfo.info/showthread.php?t=18706[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\drivers\runtime2.sys
C:\WINDOWS\system32\drivers\ctl_w32.sys
[b]Способ запуска[/b]
Драйвер: runtime2
C:\WINDOWS\system32\drivers\runtime2.sys
драйвер ctl_w32.sys среди установленных не замечен.
