Trojan-PSW.Win32.OnLineGames.oob
[b]Алиасы[/b]
[b]m1t8ta.com[/b]
Trojan.PWS.Wsgame.2387 (DrWeb)
Trojan/PSW.OnLineGames.oob (TheHacker)
TrojanPSW.OnLineGames.oob (CAT-QuickHeal)
W32/AutoInf-H (Sophos)
W32/Lineage.HDR.worm (Panda)
W32/OnLineGames.AIFH (Norman)
W32/OnLineGames.OOB!tr.pws (Fortinet)
Win-Trojan/Autorun.54784 (AhnLab-V3)
Win32/Frethog.AGY (eTrust-Vet)
Win32/PSW.OnLineGames.NLK (NOD32v2)
[b]amvo1.dll[/b]
Dropper/Autorun.105525 (AhnLab-V3)
Trojan.MulDrop.6474 (DrWeb)
Trojan.PWS.OnLineGames.OOB (BitDefender)
Trojan/PSW.OnLineGames.oob (TheHacker)
W32/AutoInf-H (Sophos)
W32/Lineage.HDR.worm (Panda)
W32/Smalltroj.CJDR (Norman)
Win32.Packed.NSAnti.r (CAT-QuickHeal)
Win32/Frethog.AGY (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Worm/AutoRun.Y (AVG)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16569[/url]
[url]http://virusinfo.info/showthread.php?t=16570[/url]
[url]http://virusinfo.info/showthread.php?t=16588[/url]
[url]http://virusinfo.info/showthread.php?t=16682[/url]
[b]Файлы на диске[/b]
C:\m1t8ta.com
C:\autorun.inf
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
C:\WINDOWS\system32\amvo.exe
autorun.inf и m1t8ta.com - на всех дисках в корневой папке
[b]Способ запуска[/b]
1. Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
[b]Внешние проявления [/b](со слов пользователей)
Проводник не показывает скрытые файлы.
Trojan-PSW.Win32.OnLineGames.oob
[quote=AndreyKa;178527]
[B]Файлы на диске[/B]
C:\m1t8ta.com
C:\autorun.inf
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
C:\WINDOWS\system32\amvo.exe
autorun.inf и m1t8ta.com - на всех дисках в корневой папке
[B]Способ запуска[/B]
1. Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
[B]Внешние проявления [/B](со слов пользователей)
Проводник не показывает скрытые файлы.[/quote]
Небольшое дополнение из моей базы: Размер исполняемого файла зловрда 105 кб. Файл amvo.exe в указанном месте создают также Worm.Win32.AutoRun.* (в частности, Worm.Win32.AutoRun.bmz, Worm.Win32.AutoRun.bun, Worm.Win32.AutoRun.bur, Worm.Win32.AutoRun.cag), а также Trojan-PSW.Win32.OnLineGames.* (в частности Trojan-PSW.Win32.OnLineGames.ost, Trojan-PSW.Win32.OnLineGames.ozf, Trojan-PSW.Win32.OnLineGames.pdb, Trojan-PSW.Win32.OnLineGames.pfm, Trojan-PSW.Win32.OnLineGames.pfm, Trojan-PSW.Win32.OnLineGames.pmo).
По поводу зловреда Trojan-PSW.Win32.OnLineGames.oob можно отметить, что он:
1. Создает во временной папке ряд файлов, в частности lb2t87v.dll, uu2c.sys
2. Определяет местоположение IE для того, чтобы запустить его и инжектит в процесс IE троянский код
3. amvo.exe - это копия дроппера зловреда
4. Зловред умеет бороться с антивирусами, в частности реализует классическую атаку на GUI AVP
5. Модифицирует параметры ключа реестра Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced с именами Hidden и ShowSuperHidden, изменяет политику безопасности путем правки реестра - в ключе Software\Microsoft\Windows\CurrentVersion\Policies\Explorer он модифицирует параметр NoDriveTypeAutoRun. Эти изменения реестра защищены от восстановления за счет того, что зловред периодически повторяет их правку
6. Плодит файлы *:\m1t8ta.com и *:\autorun.inf, причем m1t8ta.com - это копия дроппера зловреда.
Worm.Win32.AutoRun.cas и Worm.Win32.AutoRun.cag
[b]Алиасы[/b]
PWS-LegMir.gen.k (McAfee)
Trj/Downloader.SEW (Panda)
Trojan.Agent.AGOT (BitDefender)
Trojan.MulDrop.6474 (DrWeb)
Trojan.PSW.Win32.GameOL.loc (Rising)
W32.Gammima.AG (Symantec)
W32/AutoRun.cas (TheHacker)
W32/Smalltroj.CKQK (Norman)
Win-Trojan/OnlineGameHack.105942 (AhnLab-V3)
Win32/Frethog.AHJ (eTrust-Vet)
Win32/Pacex.Gen (NOD32v2)
Worm/AutoRun.Y (AVG)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16670[/url]
[url]http://virusinfo.info/showthread.php?t=16746[/url]
[url]http://virusinfo.info/showthread.php?t=17038[/url]
[url]http://virusinfo.info/showthread.php?t=17164[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
%Temp%\9ba4xn.dll
autorun.inf и xn1i9x.com - на всех дисках в корневой папке
autorun.inf детектируется как Trojan-PSW.Win32.OnLineGames.pgs
[b]Способ запуска[/b]
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
[b]Внешние проявления [/b](со слов пользователей)
Проводник не показывает скрытые файлы.
[b]Worm.Win32.AutoRun.cag[/b] мало чем отличается от [b]Worm.Win32.AutoRun.cas[/b]. Он найден в темах:
[url]http://virusinfo.info/showthread.php?t=16675[/url]
[url]http://virusinfo.info/showthread.php?t=16865[/url]
[url]http://virusinfo.info/showthread.php?t=17160[/url]
Отличия в детекте:
W32/AutoRun.CAG!worm (Fortinet)
W32/Lineage.HEF.worm (Panda)
W32/Smalltroj.CKGL (Norman)
Win32:AutoRun-PC (Avast)
Win32/Frethog.AHG (eTrust-Vet)
Дополнительные алиасы для [b]amvo0.dll[/b]
Generic.dx (McAfee)
Trojan.PWS.Wsgame.2387 (DrWeb)
W32/AutoRun.BKD (Norman)
W32/Autorun.MY.worm (Panda)
Win-Trojan/OnlineGameHack.54784.R (AhnLab-V3)
Win32:AutoRun-PD (Avast)
Worm.AutoRun.cag (CAT-QuickHeal)
Worm.Win32.AutoRun.cbi, Worm.Win32.AutoRun.chv и Worm.Win32.AutoRun.cin
Ползучая эпидемия продолжается.
[b]Алиасы[/b]
Trojan.MulDrop.6474 (DrWeb)
Trojan.PSW.Win32.GameOL.lod (Rising)
Trojan.PWS.Onlinegames.NXQ (BitDefender)
W32.Gammima.AG (Symantec)
W32/AutoRun.cbi (TheHacker)
W32/Autorun.MR.worm (Panda)
W32/Smalltroj.CKWC (Norman)
Win32.AutoRun.cbi (eSafe)
Win32/Frethog.AIG (eTrust-Vet)
Win32/PSW.OnLineGames.MUU (NOD32v2)
Worm/AutoRun.Y (AVG)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16742[/url]
[url]http://virusinfo.info/showthread.php?t=16985[/url]
[url]http://virusinfo.info/showthread.php?t=17095[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
autorun.inf и qd.cmd - на всех дисках в корневой папке
[b]Способ запуска[/b]
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
[b]Внешние проявления [/b](со слов пользователей)
Проводник не показывает скрытые файлы.
Отличия [b]Worm.Win32.AutoRun.chv[/b]
[b]Алиасы
amvo.exe[/b]
Dropper/Autorun.104080 (AhnLab-V3)
PWS:Win32/OnLineGames.BL (Microsoft)
Trj/QQPass.BBV (Panda)
Trojan.MulDrop.6474 (DrWeb)
W32/AutoRun.chv (TheHacker)
W32/NSAnti.FZS (Norman)
Win32/Frethog.AJA (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17324[/url]
[url]http://virusinfo.info/showthread.php?t=17382[/url]
[url]http://virusinfo.info/showthread.php?t=17635[/url]
[b]Файлы на диске[/b]
%Temp%\pqub.dll
В корне всех дисков файл h.cmd
Отличия [b]Worm.Win32.AutoRun.cin[/b]
[b]Алиасы
amvo.exe[/b]
Trojan.Agent.AGTI (BitDefender)
W32/AutoRun.cin (TheHacker)
W32/Downldr2.AXPW (F-Prot)
W32/Lineage.GUF.worm (Panda)
Win-Trojan/Autorun.104644 (AhnLab-V3)
Win32/PSW.OnLineGames.NLI (NOD32v2)
[b]amvo0.dll[/b]
Trojan.PWS.Wsgame.2387 (DrWeb)
VirTool:Win32/Obfuscator.T (Microsoft)
W32/NSAnti.GDM (Norman)
Win32/PSW.OnLineGames.NLK (NOD32v2)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17457[/url]
[url]http://virusinfo.info/showthread.php?t=17474[/url]
[url]http://virusinfo.info/showthread.php?t=17631[/url]
[b]Файлы на диске[/b]
%Temp%\yjyuu.dll
В корне всех дисков файл i.cmd
Trojan-Downloader.Win32.Agent.hnp
[b]Алиасы[/b]
Downloader.Agent.AADM (AVG)
Downloader.Agent.hnp (Ewido)
TR/Dldr.Agent.hnp (AntiVir)
Trj/Downloader.SFC (Panda)
Trojan:Win32/Adclicker.AO (Microsoft)
Trojan.Adclicker.GY (BitDefender)
Trojan.BhoSpy (DrWeb)
Trojan.Win32.Undef.cap (Rising)
Trojan/Downloader.Agent.hnp (TheHacker)
TrojanDownloader.Agent.hnp (CAT-QuickHeal)
W32/Agent.EAPT (Norman)
W32/Agent.HNP!tr.dldr (Fortinet)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16679[/url]
[url]http://virusinfo.info/showthread.php?t=16806[/url]
[url]http://virusinfo.info/showthread.php?t=17103[/url]
[url]http://virusinfo.info/showthread.php?t=17106[/url]
[url]http://virusinfo.info/showthread.php?t=17215[/url]
[url]http://virusinfo.info/showthread.php?t=18226[/url]
[url]http://virusinfo.info/showthread.php?t=18323[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\System32\socksys.dll
или
C:\WINDOWS\system32\socketa.dll
25600 байт
[b]Способ запуска[/b]
BHO {FFFFFFFF-F538-4f86-ABAF-E9D94D5C007C}
Trojan-PSW.Win32.OnLineGames.pqm
[b]Алиасы[/b]
[b]xo8wr9.exe и amvo.exe[/b]
PSW.OnlineGames.ACQL (AVG)
PWS-Mmorpg.gen (McAfee)
Trojan.MulDrop.6474 (DrWeb)
Trojan.PSW.Win32.GameOL.lri (Rising)
Trojan.PWS.OnlineGames.OOV (BitDefender)
Trojan/PSW.OnLineGames.pqm (TheHacker)
W32.Gammima.AG (Symantec)
W32/Lineage.HHP.worm (Panda)
W32/OnLineGames.AJHA (Norman)
Win-Trojan/OnlineGameHack.103781 (AhnLab-V3)
Win32/Frethog.AIK (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
[b]amvo1.dll[/b]
Trojan.PSW.Win32.GameOL.lri (Rising)
Trojan.PWS.OnlineGames.OOV (BitDefender)
Trojan.PWS.Wsgame.2387 (DrWeb)
VB.BHZ (Prevx1)
W32.Gammima.AG (Symantec)
W32/Lineage.HHP.worm (Panda)
Win32/Frethog.AIK (eTrust-Vet)
Win32/PSW.OnLineGames.NLK (NOD32v2)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17066[/url]
[url]http://virusinfo.info/showthread.php?t=17068[/url]
[url]http://virusinfo.info/showthread.php?t=17112[/url]
[url]http://virusinfo.info/showthread.php?t=17315[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
autorun.inf и xo8wr9.exe - на всех дисках в корневой папке
[b]Способ запуска[/b]
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
[b]Внешние проявления [/b](со слов пользователей)
Проводник не показывает скрытые файлы.
Worm.Win32.AutoRun.cgi и Trojan-PSW.Win32.OnLineGames.pwr
[b]Алиасы[/b]
[b]h.cmd и amvo.exe[/b]
PWS-LegMir (McAfee)
Trojan.MulDrop.6474 (DrWeb)
W32.Gammima.AG (Symantec)
W32/AutoRun.cgi (TheHacker)
W32/NSAnti.FXO (Norman)
W32/Wow.SI.worm (Panda)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Win32/VMalum.BVDB (eTrust-Vet)
[b]amvo0.dll[/b]
PSW.OnlineGames.ADBF (AVG)
Trojan.PWS.Wsgame.2387 (DrWeb)
VB.BHZ (Prevx1)
W32/NSAnti.FXP (Norman)
Win32/PSW.OnLineGames.NLK (NOD32v2)
[b]Описание[/b]
Червь распространяющийся копированием самого себя на сменные носители. Похищает пароли к различным интернет-играм.
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17225[/url]
[url]http://virusinfo.info/showthread.php?t=17255[/url]
[url]http://virusinfo.info/showthread.php?t=17337[/url]
[url]http://virusinfo.info/showthread.php?t=17382[/url]
[url]http://virusinfo.info/showthread.php?t=17635[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll - детектируется как Trojan-PSW.Win32.OnLineGames.pwr
C:\WINDOWS\system32\amvo1.dll
%Temp%\fhf.dll
autorun.inf и h.cmd - на всех дисках в корневой папке
[b]Способ запуска[/b]
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
[b]Внешние проявления [/b](со слов пользователей)
Проводник не показывает скрытые файлы.
Trojan-Downloader.Win32.Agent.hlt
[b]Алиасы[/b]
BackDoor.Bulknet.134 (DrWeb)
Downloader.Agent.AAAN (AVG)
Trj/Spammer.ADX (Panda)
Trojan.Downloader-21950 (ClamAV)
Trojan.Downloader.Small.AAKE (BitDefender)
Trojan/Downloader.Agent.hlt (TheHacker)
TrojanDownloader.Agent.hlt (CAT-QuickHeal)
VirTool:WinNT/Cutwail.F (Microsoft)
W32/DLoader.FGTA (Norman)
W32/Emogen.HLT!tr.dldr (Fortinet)
Win-Trojan/SpamMailer.25984 (AhnLab-V3)
Win32.Agent.hlt (eSafe)
Win32/Wigon.AN (NOD32v2)
Worm/Ntech.Z.4 (AntiVir)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16595[/url]
[url]http://virusinfo.info/showthread.php?t=17099[/url]
[url]http://virusinfo.info/showthread.php?t=17458[/url]
[b]Файл на диске[/b]
Имя состоит из трех случайных букв и двух цифр. Например:
C:\WINDOWS\System32\Drivers\Iot62.sys
C:\WINDOWS\System32\Drivers\Agk37.sys
Размер 25984 байт
[b]Способ запуска[/b]
Драйвер: C:\WINDOWS\System32\Drivers\?????.sys
Группа: SCSI Class
Функционирует как модуль пространства ядра.
Trojan-Dropper.Win32.Agent.dsg и Trojan-Downloader.Win32.Small.hwc
[b]Алиасы[/b]
TR/Agent.41984.21 (AntiVir)
Trj/Dropper.AAD (Panda)
Troj/Agent-GNA (Sophos)
Trojan.Downloader.Small.AAKR (BitDefender)
Trojan.MulDrop.10872 (DrWeb)
Trojan/Dropper.Agent.dsg (TheHacker)
TrojanDropper.Agent.dsg (CAT-QuickHeal)
VirTool:Win32/Rootkitdrv.BR (Microsoft)
W32/Agent.EAJP (Norman)
Win32:Agent-OLI (Avast)
[b]Описание[/b]
Троян с функционалом обмена информацией с удаленным сервером через протокол HTTP.
При первом запуске копирует себя в файлы
%USERPROFILE%\Local Settings\Application Data\ayagbf.exe
%SystemRoot%\System32\drivers\msbzgh.exe
и создает следующие файлы:
%USERPROFILE%\msftp.dll
%SystemRoot%\System32\drivers\sysproc.sys
%SystemRoot%\System32\msftp.dll
Источник: [url]http://www.sophos.com/virusinfo/analyses/trojagentgna.html[/url] (анг.)
sysproc.sys детектируется как Rootkit.Win32.Agent.mu
msftp.dll детектируется как Trojan-Downloader.Win32.Small.hwc
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16816[/url]
[url]http://virusinfo.info/showthread.php?t=17179[/url]
[url]http://virusinfo.info/showthread.php?t=17495[/url]
[url]http://virusinfo.info/showthread.php?t=17513[/url]
[url]http://virusinfo.info/showthread.php?t=17522[/url]
[url]http://virusinfo.info/showthread.php?t=17540[/url]
[url]http://virusinfo.info/showthread.php?t=17548[/url]
[url]http://virusinfo.info/showthread.php?t=17685[/url]
[url]http://virusinfo.info/showthread.php?t=17856[/url]
[b]Способ запуска[/b]
1) Служба: Schedule
C:\WINDOWS\system32\drivers\msbzgh.exe
Группа: SchedulerGroup
2) Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, autoload
C:\Documents and Settings\_пользователь_\Local Settings\Application Data\ayagbf.exe
[b]Дополнительные алиасы Trojan-Downloader.Win32.Small.hwc[/b]
Downloader.Generic6.AFLG (AVG)
TR/Dldr.Small.hwc (AntiVir)
Trj/Downloader.SIA (Panda)
Trojan.DownLoader.44897 (DrWeb)
TrojanDownloader.Small.hwc (CAT-QuickHeal)
W32/DLoader.FKPZ (Norman)
Backdoor.Win32.Agent.ehg, Backdoor.Win32.Agent.eom и Backdoor.Win32.Agent.etc
[b]Алиасы[/b]
Backdoor/Agent.ehg (TheHacker)
Generic9.AXKP (AVG)
Trj/Downloader.SIA (Panda)
Troj/Agent-GNA (Sophos)
Trojan.DownLoader.46268 (DrWeb)
W32/Smalltroj.CQWT (Norman)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17495[/url]
[url]http://virusinfo.info/showthread.php?t=17513[/url]
[url]http://virusinfo.info/showthread.php?t=17522[/url]
[url]http://virusinfo.info/showthread.php?t=17540[/url]
[url]http://virusinfo.info/showthread.php?t=17548[/url]
[url]http://virusinfo.info/showthread.php?t=17919[/url]
[b]Файлы на диске[/b]
c:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
%USERPROFILE%\Local Settings\Application Data\cftmon.exe
c:\windows\system32\drivers\spool.exe
%UserProfile%\ftpdll.dll
C:\WINDOWS\system32\ftpdll.dll
ftpdll.dll детектируются как Trojan-Downloader.Win32.Small.hwc
[b]Способ запуска[/b]
1) Служба: Schedule
Описание: Task Scheduler
C:\WINDOWS\system32\drivers\spool.exe
Группа: SchedulerGroup
2) Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, autoload
C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
3) Ключ реестра HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, autoload
C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
4) Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, ntuser
C:\WINDOWS\system32\drivers\spools.exe
5) Ключ реестра HKEY_CURRENT_USER,
Software\Microsoft\Windows\CurrentVersion\Run, ntuser
C:\WINDOWS\system32\drivers\spools.exe
[b]Отличия Backdoor.Win32.Agent.eom
Алиасы[/b]
Backdoor.Agent.eom (CAT-QuickHeal)
BackDoor.FireOn (DrWeb)
Generic9.BBNJ (AVG)
Troj/Agent-GNA (Sophos)
W32/Agent.EOM!tr.bdr (Fortinet)
W32/Smalltroj.CUKE (Norman)
Win32:Small-JMK (Avast)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18156[/url]
[url]http://virusinfo.info/showthread.php?t=18234[/url]
[url]http://virusinfo.info/showthread.php?t=18273[/url]
[url]http://virusinfo.info/showthread.php?t=18275[/url]
[url]http://virusinfo.info/showthread.php?t=18294[/url]
[b]Отличия Backdoor.Win32.Agent.etc
Алиасы[/b]
BACKDOOR.DIMPY.WIN32VBSY.Q (Prevx1)
SHeur.AVFC (AVG)
TR/Dldr.Small.AAKR.12 (AntiVir)
Trojan.Downloader.Small.AAKR (BitDefender)
Win32/TrojanDownloader.Agent.NVF (NOD32v2)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18779[/url]
[url]http://virusinfo.info/showthread.php?t=18785[/url]
[url]http://virusinfo.info/showthread.php?t=18858[/url]
Trojan-PSW.Win32.OnLineGames.qmf, Trojan-PSW.Win32.OnLineGames.qpu, Trojan-PSW.Win32.OnLineGames.qso
[b]Алиасы[/b]
Trojan.MulDrop.6474 (DrWeb)
Trojan/PSW.OnLineGames.qmf (TheHacker)
W32.Gammima.AG (Symantec)
W32/Lineage.HJT.worm (Panda)
W32/NSAnti.GFI (Norman)
Win-Trojan/Autorun.103367 (AhnLab-V3)
Win32/PSW.OnLineGames.NLI (NOD32v2)
[b]Дополнительные алиасы amvo0.dll[/b]
PWS-LegMir.gen.k.dll (McAfee)
Trojan.PWS.Wsgame.2387 (DrWeb)
W32/NSAnti.GEK (Norman)
Win-Trojan/Autorun.54784.E (AhnLab-V3)
Win32/PSW.OnLineGames.NLK (NOD32v2)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17499[/url]
[url]http://virusinfo.info/showthread.php?t=17535[/url]
[url]http://virusinfo.info/showthread.php?t=17558[/url]
[url]http://virusinfo.info/showthread.php?t=17604[/url]
[url]http://virusinfo.info/showthread.php?t=17615[/url]
[url]http://virusinfo.info/showthread.php?t=17638[/url]
[url]http://virusinfo.info/showthread.php?t=17725[/url]
[url]http://virusinfo.info/showthread.php?t=17816[/url]
[url]http://virusinfo.info/showthread.php?t=18859[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
%Temp%\zmcc.dll
autorun.inf и 2ifetri.cmd - на всех дисках в корневой папке
zmcc.dll детектируется как Rootkit.Win32.Agent.yr
[b]Способ запуска[/b]
1. C:\WINDOWS\system32\amvo.exe Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Прописывает запуск через файл AUTORUN.INF в корне основного и съемных дисков.
[b]Внешние проявления [/b](со слов пользователей)
Проводник не показывает скрытые файлы.
Отличия [b]Trojan-PSW.Win32.OnLineGames.qpu
Дополнительные алиасы[/b]
Trj/lineage.HKP (Panda)
Trojan/PSW.OnLineGames.qpu (TheHacker)
VirTool:Win32/Obfuscator.T (Microsoft)
W32/NSAnti.GFV (Norman)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17631[/url]
[url]http://virusinfo.info/showthread.php?t=17634[/url]
[url]http://virusinfo.info/showthread.php?t=17638[/url]
[url]http://virusinfo.info/showthread.php?t=17787[/url]
[url]http://virusinfo.info/showthread.php?t=17843[/url]
[url]http://virusinfo.info/showthread.php?t=17954[/url]
[b]Файлы на диске[/b]
%Temp%\em.dll
188qsm.bat в корне каждого диска.
em.dll детектируется как Trojan-PSW.Win32.OnLineGames.qou
Отличия [b]Trojan-PSW.Win32.OnLineGames.qso
Дополнительные алиасы[/b]
Trj/Lineage.HLA (Panda)
Trojan/PSW.OnLineGames.qso (TheHacker)
W32/NSAnti.GGB (Norman)
Win-Trojan/OnlineGameHack.103404 (AhnLab-V3)
Win32/Frethog.AKC (eTrust-Vet)
[b]amvo0.dll:[/b]
Trojan.Spy-23738 (ClamAV)
TrojanPSW.OnLineGames.qso (CAT-QuickHeal)
W32/NSAnti.GGA (Norman)
Win32/Frethog.AKH (eTrust-Vet)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17635[/url]
[url]http://virusinfo.info/showthread.php?t=17665[/url]
[url]http://virusinfo.info/showthread.php?t=17913[/url]
[url]http://virusinfo.info/showthread.php?t=18577[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
%Temp%\y5o.dll
autorun.inf и x.com - на всех дисках в корневой папке
Trojan.Win32.DNSChanger.aum
[b]Алиасы[/b]
DNSChanger.K (AVG)
Trojan.DNSChanger.BX (BitDefender)
Win32.Trojan.DNSChanger.aum (CAT-QuickHeal)
[b]Описание[/b]
Завершает процессы антивирусов. Внедряет свой код в память системных процессов. Сам в списке работающих программ отсутствует.
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16595[/url]
[url]http://virusinfo.info/showthread.php?t=16621[/url]
[url]http://virusinfo.info/showthread.php?t=17684[/url]
[url]http://virusinfo.info/showthread.php?t=17998[/url]
[url]http://virusinfo.info/showthread.php?t=18026[/url]
[b]Файлы на диске[/b]
Файл в папке C:\WINDOWS\system32 со случайным именем из 5 латинских букв, например:
C:\WINDOWS\system32\kdbzh.exe
C:\WINDOWS\system32\kdhpy.exe
C:\WINDOWS\system32\kdecb.exe
76800 байт
[b]Способ запуска[/b]
kd???.exe
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, System
Trojan.Win32.ConnectionServices.o
[b]Алиасы[/b]
Adware Generic2.AAXY (AVG)
Adware.BitAcc (DrWeb)
Adware/LinkOptimizer (Panda)
Troj/Dropper-RY (Sophos)
TROJAN.VB.RY (Prevx1)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17540[/url]
[url]http://virusinfo.info/showthread.php?t=17710[/url]
[url]http://virusinfo.info/showthread.php?t=17767[/url]
[url]http://virusinfo.info/showthread.php?t=18518[/url]
[url]http://virusinfo.info/showthread.php?t=18570[/url]
[url]http://virusinfo.info/showthread.php?t=18620[/url]
[url]http://virusinfo.info/showthread.php?t=18755[/url]
[b]Файлы на диске[/b]
C:\Program Files\ConnectionServices\ConnectionServices.dll
420352 байт
[b]Способ запуска[/b]
C:\Program Files\ConnectionServices\ConnectionServices.dll
BHO {6D7B211A-88EA-490c-BAB9-3600D8D7C503}
Trojan-Downloader.Win32.Small.iih
[b]Алиасы[/b]
TR/Dldr.Small.iih.1 (AntiVir)
Trojan.DownLoader.46268 (DrWeb)
TrojanDownloader.Small.iih (CAT-QuickHeal)
W32/Small.IIH!tr.dldr (Fortinet)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17685[/url]
[url]http://virusinfo.info/showthread.php?t=17853[/url]
[url]http://virusinfo.info/showthread.php?t=17856[/url]
[url]http://virusinfo.info/showthread.php?t=17865[/url]
[url]http://virusinfo.info/showthread.php?t=18347[/url]
[url]http://virusinfo.info/showthread.php?t=18609[/url]
[b]Файлы на диске[/b]
c:\windows\system32\drivers\spool.exe
%USERPROFILE%\local settings\application data\cftmon.exe
%System%\msftp.dll - детектируется как Trojan-Downloader.Win32.Small.hwc
[b]Способ запуска[/b]
%USERPROFILE%\Local Settings\Application Data\cftmon.exe
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, autoload
C:\WINDOWS\system32\drivers\spool.exe
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, ntuser
AdWare.Win32.Virtumonde.gen
[b]Алиасы[/b]
Adware.Virtumonde-587 (ClamAV)
AdWare.Virtumonde.dnn (CAT-QuickHeal)
AdWare.Win32.Agent.zpb (Rising)
Lop (AVG)
Spyware/Virtumonde (Panda)
TR/Vundo.DWB (AntiVir)
Troj/Virtum-Gen (Sophos)
Trojan-Downloader.Win32.ConHook.gen (Sunbelt)
Trojan:Win32/Vundo.X (Microsoft)
Trojan.Metajuan (Symantec)
Trojan.Virtumod.260 (DrWeb)
Trojan.Vundo.DWB (BitDefender)
Vundo.gen56 (F-Secure)
W32/Virtumonde.PM (F-Prot)
Win32:TratBHO (Avast)
Win32/Adware.SecToolbar (NOD32v2)
[b]Описание[/b]
Устанавливается вредоносными программами или скачивается с вредоносных сайтов с использованием эксплойтов для Internet Explorer.
Функционирует как модуль системных процессов winlogon.exe, lsass.exe и др.
Завершает работу антивирусных программ. Скачивает программы из Интернета.
Показывает рекламу при посещении определенных веб-сайтов.
Источники:
[url]http://www.sophos.com/virusinfo/analyses/trojvirtumgen.html[/url]
[url]http://www.symantec.com/security_response/writeup.jsp?docid=2007-030112-0714-99&tabid=2[/url] (анг.)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16155[/url]
[url]http://virusinfo.info/showthread.php?t=16324[/url]
[url]http://virusinfo.info/showthread.php?t=16346[/url]
[url]http://virusinfo.info/showthread.php?t=16362[/url]
[url]http://virusinfo.info/showthread.php?t=16496[/url]
[url]http://virusinfo.info/showthread.php?t=16840[/url]
[url]http://virusinfo.info/showthread.php?t=17466[/url]
[url]http://virusinfo.info/showthread.php?t=17710[/url]
[url]http://virusinfo.info/showthread.php?t=17785[/url]
[url]http://virusinfo.info/showthread.php?t=17953[/url]
[url]http://virusinfo.info/showthread.php?t=17974[/url]
[url]http://virusinfo.info/showthread.php?t=17985[/url]
[url]http://virusinfo.info/showthread.php?t=18159[/url]
[url]http://virusinfo.info/showthread.php?t=18295[/url]
[url]http://virusinfo.info/showthread.php?t=18839[/url]
[b]Файлы на диске[/b]
dll файл со случайным именем из латинских букв в папке C:\WINDOWS\system32
Например:
C:\WINDOWS\system32\utqgukka.dll
C:\WINDOWS\System32\mllmj.dll
[b]Способ запуска[/b]
BHO, CLSID случайный.
Trojan-Downloader.Win32.Agent.ici
[b]Алиасы[/b]
PSW.Generic5.AIDA (AVG)
Rootkit/Spammer.AGA (Panda)
Spy-Agent.bv (McAfee)
Troj/Pushu-Gen (Sophos)
Trojan-Downloader.Agent.ZAR (Sunbelt)
Trojan.Downloader-22556 (ClamAV)
Trojan.Nudos (Prevx1)
Trojan.Pandex.AD (BitDefender)
Trojan.Rntm (DrWeb)
Trojan/Downloader.Agent.ici (TheHacker)
VirTool:WinNT/Cutwail.F (Microsoft)
W32/Agent.EETK (Norman)
W32/Agent.ZAR!tr.dldr (Fortinet)
Win-Trojan/Agent.25472 (AhnLab-V3)
Win32/Wigon.AV (NOD32v2)
Worm.Ntech.sd (CAT-QuickHeal)
Worm/Ntech.Z.4 (AntiVir)
[b]Описание[/b]
Прописывет себя в реестр для повторного запуска.
Загружает вредоносные программы из сети Интернет и устанавливает их на компьютер.
Понижает уровень защиты системы безопасности.
Функционирует как модуль пространства ядра.
[url]http://www.sophos.com/virusinfo/analyses/trojpushugen.html[/url] (анг.)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17454[/url]
[url]http://virusinfo.info/showthread.php?t=17707[/url]
[url]http://virusinfo.info/showthread.php?t=17882[/url]
[b]Файлы на диске[/b]
sys файл в папке C:\WINDOWS\System32\Drivers со случайным именем из трех латинских букв и двух цифр. Например:
C:\WINDOWS\System32\Drivers\Nsf45.sys
C:\WINXP\system32\Drivers\Vch17.sys
[b]Способ запуска[/b]
Драйвер с именем как у файла.
Группа: SCSI Class
[b]Внешние проявления [/b](со слов пользователей)
Процесс svchost.exe постоянно требует связи с разнообразными адресами.
