-
Worm.Win32.Feebs.nj
[b]Алиасы[/b]
Mal/EncPk-BW (Sophos)
Proxy.DRI (Prevx1)
VirTool:Win32/Obfuscator.C (Microsoft)
W32/Feebs.dr (McAfee)
W32/Feebs.LO.worm (Panda)
W32/Feebs.nj (TheHacker)
W32.Feebs@mm (Symantec)
W32/Smalltroj.CTKS (Norman)
Win-Trojan/Agent.45324 (AhnLab-V3)
Win32.HLLM.Graz (DrWeb)
Win32.Worm.Feebs.NN (BitDefender)
Win32/Mocalo.EU (NOD32v2)
Worm.Feebs.nj (CAT-QuickHeal)
Worm/Feebs.JS (AVG)
Win32/VMalum.BWGJ (eTrust-Vet)
Worm.Feebs-88 (ClamAV)
[b]Описание[/b]
Почтовый червь из этого семейства: [url=http://www.viruslist.com/ru/viruses/encyclopedia?virusid=107701]Worm.Win32.Feebs.h[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18041[/url]
[url]http://virusinfo.info/showthread.php?t=18340[/url]
[url]http://virusinfo.info/showthread.php?t=18832[/url]
[b]Файлы на диске[/b]
dll И exe файл в системной папке со случайным именем начинающимся на ms, например:
c:\windows\system32\mspe.exe
c:\windows\system32\msuq32.dll
[b]Способ запуска[/b]
1. [b]Active Setup[/b]
Файл: c:\windows\system32\ms??.exe
CLSID случайный
2. Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad,
Файл: ms????.dll
[b]Внешние проявления [/b](со слов пользователей)
"слетел" установленный DrWeb, при попытке запустить установку инсталлятор закрывается.
При попытке запуска AVZ - его окно появляется и тут же исчезает.
-
Trojan-Downloader.Win32.Agent.kif и Trojan-Downloader.Win32.Agent.ldb
[b]Алиасы[/b]
Cutwail.dll (McAfee)
Downloader.Agent.ADET (AVG)
TR/Dldr.Agent.kif.9 (AntiVir)
Trojan.Pandex (Symantec)
Trojan.Win32.Undef.dqm (Rising)
Trojan/Downloader.Agent.kif (TheHacker)
TrojanDownloader.Agent.kif (CAT-QuickHeal)
TrojanDropper:Win32/Cutwail.Y (Microsoft)
W32/Agent.KIF!tr.dldr (Fortinet)
Win-Trojan/OnlineGameHack.11776.R (AhnLab-V3)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=19097[/url]
[url]http://virusinfo.info/showthread.php?t=19121[/url]
[url]http://virusinfo.info/showthread.php?t=19189[/url]
[url]http://virusinfo.info/showthread.php?t=19204[/url]
[url]http://virusinfo.info/showthread.php?t=19223[/url]
[url]http://virusinfo.info/showthread.php?t=19253[/url]
[url]http://virusinfo.info/showthread.php?t=19295[/url]
[url]http://virusinfo.info/showthread.php?t=19474[/url]
[url]http://virusinfo.info/showthread.php?t=19849[/url]
[url]http://virusinfo.info/showthread.php?t=20020[/url]
[url]http://virusinfo.info/showthread.php?t=20030[/url]
[url]http://virusinfo.info/showthread.php?t=20091[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\WLCtrl32.dll
11776 байт
[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32, DLLName
WLCtrl32.dll
Отличия [b]Trojan-Downloader.Win32.Agent.ldb
Алиасы[/b]
Downloader.Agent.ADJW (AVG)
TR/Dldr.Agent.ldb.12 (AntiVir)
Trojan.DL.Win32.Paiman.a (Rising)
Trojan.Dldr.Agent.ldb.12 (Webwasher-Gateway)
Trojan.DownLoader.50037 (DrWeb)
Trojan.DR.Pandex.Gen.4 (VirusBuster)
Trojan/Downloader.Agent.ldb (TheHacker)
TrojanDownloader.Agent.ldb (CAT-QuickHeal)
TrojanDropper:Win32/Cutwail.Y (Microsoft)
W32/Agent.dam (Norman)
W32/Agent.LDB!tr.dldr (Fortinet)
Win32/Wigon.BA (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/8caac1bed7492331da3d2ba667afdea1[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=19006[/url]
[url]http://virusinfo.info/showthread.php?t=19726[/url]
[url]http://virusinfo.info/showthread.php?t=19776[/url]
[url]http://virusinfo.info/showthread.php?t=19786[/url]
[url]http://virusinfo.info/showthread.php?t=19817[/url]
[url]http://virusinfo.info/showthread.php?t=19858[/url]
[url]http://virusinfo.info/showthread.php?t=19910[/url]
-
Trojan-Spy.Win32.Agent.bll
[b]Алиасы[/b]
a variant of Win32/Spy.Agent.NFB (NOD32v2)
Mal/Proxy-B (Sophos)
PSW.Generic5.ALAY (AVG)
Spammer:Win32/Newacc.A (Microsoft)
TR/Agent.39936.31 (AntiVir)
Trojan-Spy.Win32.Agent.bll (Kaspersky)
Trojan.Agent.39 (CAT-QuickHeal)
Trojan.Hotreg (DrWeb)
Trojan.Win32.Undef.dpc (Rising)
Trojan/Spy.Agent.bll (TheHacker)
W32/Agent.EKVA (Norman)
Win32/VMalum.BXRS (eTrust-Vet)
[b]Описание[/b]
Пытается войти на сайт [url]http://login.live.com/[/url]
Обращается к сайту [url]http://www.google.com/[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=19097[/url]
[url]http://virusinfo.info/showthread.php?t=19189[/url]
[url]http://virusinfo.info/showthread.php?t=19295[/url]
[url]http://virusinfo.info/showthread.php?t=19474[/url]
[b]Файлы на диске[/b]
Файл со случайным именем bn?.tmp в папке c:\windows\temp
Например, c:\windows\temp\bna.tmp
39936 байт
-
Trojan-PSW.Win32.OnLineGames.ryg, Trojan-PSW.Win32.OnLineGames.tya, Trojan-PSW.Win32.OnLineGames.rin
[b]Алиасы[/b]
PSW.OnlineGames.AFDW (AVG)
PWS-LegMir.gen.k (McAfee)
Trojan.MulDrop.6474 (DrWeb)
Trojan.PSW.Win32.GameOLSys.gp (Rising)
Trojan.PWS.OnlineGames.QZU (BitDefender)
Trojan/PSW.OnLineGames.ryg (TheHacker)
VirTool:Win32/Obfuscator.T (Microsoft)
W32.Gammima.AG (Symantec)
W32/Lineage.HPX.worm (Panda)
W32/OnLineGames.RYG!tr.pws (Fortinet)
W32/Smalltroj.CXLD (Norman)
Win32/Frethog.ALU (eTrust-Vet)
Win32/PSW.OnLineGames.NMT (NOD32v2)
[b]amvo0.dll[/b]
PSW.OnlineGames.AFDX (AVG)
PWS-LegMir.gen.k.dll (McAfee)
Trj/Lineage.HQA (Panda)
Trojan.PSW.Win32.GameOLSys.gp (Rising)
Trojan.PWS.OnlineGames.QZU (BitDefender)
Trojan.PWS.Wsgame.3434 (DrWeb)
TrojanPSW.OnLineGames.ryg (CAT-QuickHeal)
W32/OnLineGames.ALCY (Norman)
W32/PWS!be7d (F-Prot)
[b]Описание[/b]
Червь распространяющийся копированием самого себя на сменные носители. Похищает пароли к различным интернет-играм.
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18758[/url]
[url]http://virusinfo.info/showthread.php?t=18853[/url]
[url]http://virusinfo.info/showthread.php?t=19048[/url]
[url]http://virusinfo.info/showthread.php?t=19092[/url]
[url]http://virusinfo.info/showthread.php?t=19149[/url]
[url]http://virusinfo.info/showthread.php?t=19350[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo1.dll
autorun.inf и u2.cmd - на всех дисках в корневой папке
[b]Способ запуска[/b]
1. Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
Отличия [b]Trojan-PSW.Win32.OnLineGames.tya[/b]
[b]Алиасы[/b]
Trj/Lineage.HUC (Panda)
Trojan.PWS.OnlineGames.SQS (BitDefender)
TrojanPSW.OnLineGames.tya (CAT-QuickHeal)
Win32/PSW.OnLineGames.NMP (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/d44cba69aa5ddaf41c53e81c52d22d2a[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=19579[/url]
[url]http://virusinfo.info/showthread.php?t=19608[/url]
[url]http://virusinfo.info/showthread.php?t=19648[/url]
[url]http://virusinfo.info/showthread.php?t=19715[/url]
[url]http://virusinfo.info/showthread.php?t=19799[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
72192 байт
Отличия [b]Trojan-PSW.Win32.OnLineGames.rin[/b]
[b]Алиасы[/b]
Infostealer.Gampass (Symantec)
Trj/Lineage.HNG (Panda)
Trojan.PSW.Win32.GameOLSys.en (Rising)
Trojan.PWS.Wsgame.2387 (DrWeb)
TrojanPSW.OnLineGames.rin (CAT-QuickHeal)
VB.BHZ (Prevx1)
W32/NSAnti.GLV (Norman)
W32/Onlinegames.AZG (F-Prot)
W32/OnLineGamesEncPK.fam!tr.pws (Fortinet)
Win32: Onlinegames-CAZ (Avast)
Win32/PSW.OnLineGames.NLK (NOD32v2)
Worm:Win32/Taterf.D (Microsoft)
[url]http://www.virustotal.com/ru/analisis/22c8b552ffe5fa199c12560ea3912c1f[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=15961[/url]
[url]http://virusinfo.info/showthread.php?t=18270[/url]
[url]http://virusinfo.info/showthread.php?t=18810[/url]
[url]http://virusinfo.info/showthread.php?t=19141[/url]
[url]http://virusinfo.info/showthread.php?t=19962[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
54784 байт
-
Trojan.Win32.Agent.fiw
[b]Алиасы[/b]
Agent.OSL (AVG)
TR/Agent.fiw (AntiVir)
Trj/Spammer.AGG (Panda)
Trojan.Agent.AGZD (BitDefender)
Trojan.Agent.fiw (CAT-QuickHeal)
W32/Agent.FIW!tr (Fortinet)
W32/Trojan2.VJU (F-Prot)
[b]Описание[/b]
Модуль пространства ядра.
Имеет возможности отправки сообщений электронной почты.
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18863[/url]
[url]http://virusinfo.info/showthread.php?t=18986[/url]
[url]http://virusinfo.info/showthread.php?t=19407[/url]
[url]http://virusinfo.info/showthread.php?t=19690[/url]
[url]http://virusinfo.info/showthread.php?t=20168[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\powermgmt.sys
46592 байт
[b]Способ запуска[/b]
Драйвер: AdvPowerMgmt
Описание: Advanced Power Management
Файл: C:\WINDOWS\system32\powermgmt.sys
-
Trojan-Downloader.Win32.Agent.kvg, Trojan-Downloader.Win32.Agent.luo
[b]Алиасы[/b]
Downloader.Agent.ADGB (AVG)
TR/Dldr.Agent.kvg.5 (AntiVir)
Trojan.Dldr.Agent.kvg.5 (Webwasher-Gateway)
Trojan.DownLoader.50037 (DrWeb)
Trojan.DR.Pandex.Gen.4 (VirusBuster)
Trojan.Pandex.AH (BitDefender)
Trojan.Win32.Undef.dvc (Rising)
TrojanDownloader.Agent.kvg (CAT-QuickHeal)
TrojanDropper:Win32/Cutwail.Y (Microsoft)
W32/Agent.KVG!tr.dldr (Fortinet)
Win-Trojan/Downloader.11776.FQ (AhnLab-V3)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=19393[/url]
[url]http://virusinfo.info/showthread.php?t=19405[/url]
[url]http://virusinfo.info/showthread.php?t=19408[/url]
[url]http://virusinfo.info/showthread.php?t=19438[/url]
[url]http://virusinfo.info/showthread.php?t=19488[/url]
[url]http://virusinfo.info/showthread.php?t=19492[/url]
[url]http://virusinfo.info/showthread.php?t=19578[/url]
[url]http://virusinfo.info/showthread.php?t=19584[/url]
[url]http://virusinfo.info/showthread.php?t=19602[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\WLCtrl32.dll
11776 байт
[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32, DLLName
WLCtrl32.dll
[b]Внешние проявления [/b](со слов пользователей)
Большой интернет-трафик.
[b]Отличия Trojan-Downloader.Win32.Agent.luo
Алиасы[/b]
Downloader.Agent.ADQQ (AVG)
TR/Dldr.Agent.luo.8 (AntiVir)
Trojan.Dldr.Agent.luo.8 (Webwasher-Gateway)
Trojan.DR.Pandex.Gen.4 (VirusBuster)
Trojan.Dropper.Cutwail.B (BitDefender)
TrojanDropper:Win32/Cutwail.Y (Microsoft)
[url]http://www.virustotal.com/ru/analisis/7e6267477ec43fc82c0f67cac71e8fe3[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=20200[/url]
[url]http://virusinfo.info/showthread.php?t=20202[/url]
[url]http://virusinfo.info/showthread.php?t=20230[/url]
[url]http://virusinfo.info/showthread.php?t=20246[/url]
[url]http://virusinfo.info/showthread.php?t=20247[/url]
[url]http://virusinfo.info/showthread.php?t=20263[/url]
[url]http://virusinfo.info/showthread.php?t=20275[/url]
[url]http://virusinfo.info/showthread.php?t=20276[/url]
[url]http://virusinfo.info/showthread.php?t=20343[/url]
[url]http://virusinfo.info/showthread.php?t=20457[/url]
-
Trojan-Downloader.Win32.Small.ipy
[b]Алиасы[/b]
SHeur.AVLX (AVG)
TR/Dldr.Small.ipy.1 (AntiVir)
Trj/Downloader.SVU (Panda)
Troj/Agent-GNA (Sophos)
Trojan.Dldr.Small.ipy.1 (Webwasher-Gateway)
Trojan.DownLoader.49367 (DrWeb)
Trojan.Downloader.Small.AAKR (BitDefender)
Trojan.Win32.Undef.dls (Rising)
Trojan.Zlob.GLG (VirusBuster)
Trojan/Downloader.Small.ipy (TheHacker)
TrojanDownloader.Small.ipy (CAT-QuickHeal)
W32/DLoader.FQPL (Norman)
Win-Trojan/Downloader.47000 (AhnLab-V3)
Win32:Small-JMK (Avast)
Win32/Ruternam.B (eTrust-Vet)
Win32/TrojanDownloader.Agent.NVX (NOD32v2)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18842[/url]
[url]http://virusinfo.info/showthread.php?t=19035[/url]
[url]http://virusinfo.info/showthread.php?t=19417[/url]
[url]http://virusinfo.info/showthread.php?t=19557[/url]
[b]Файлы на диске[/b]
%UserProfile%\local settings\application data\cftmon.exe
C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
c:\windows\system32\drivers\spools.exe
c:\windows\system32\ftpdll.dll - Trojan-Downloader.Win32.Small.hwc
Возможно наличие autorun.exe в корне сменного диска.
[b]Способ запуска[/b]
1) Служба: Schedule
Описание: Планировщик заданий
C:\WINDOWS\system32\drivers\spool.exe
Группа: SchedulerGroup
2) Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, autoload
C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
-
Trojan.Win32.DNSChanger.apn
[b]Алиасы[/b]
BackDoor.Mbot (DrWeb)
DNSChanger.G (AVG)
Trojan:Win32/Alureon.gen!D (Microsoft)
Trojan.DNSChanger-3010 (ClamAV)
Trojan.DNSChanger.Gen!Pac.13 (VirusBuster)
Trojan.DNSChanger.RP (BitDefender)
Trojan.Packed.7 (Symantec)
W32/DNSChanger.AFEN (Norman)
W32/DNSChanger.APN!tr (Fortinet)
W32/Trojan2.ADFA (F-Prot)
Win32.Trojan.DNSChanger.apn (CAT-QuickHeal)
Win32.TrojanDownloader.Zlob.BMQ (NOD32v2)
[b]Описание[/b]
Внедряет свой код в другие процессы, в списке выполняемых отсутствует.
Блокирует доступ к своему файлу:
[quote=лог AVZ]Прямое чтение C:\WINDOWS\system32\kdrpy.exe
[/quote]
Внесен в базы 10 января.
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18638[/url]
[url]http://virusinfo.info/showthread.php?t=19006[/url]
[url]http://virusinfo.info/showthread.php?t=19417[/url]
[url]http://virusinfo.info/showthread.php?t=19469[/url]
[url]http://virusinfo.info/showthread.php?t=19530[/url]
[url]http://virusinfo.info/showthread.php?t=19945[/url]
[url]http://virusinfo.info/showthread.php?t=20037[/url]
[url]http://virusinfo.info/showthread.php?t=20113[/url]
[url]http://virusinfo.info/showthread.php?t=20796[/url]
[b]Файлы на диске[/b]
В папке C:\WINDOWS\system32 exe файл со случайным именем, начинающемся с kd, например:
C:\WINDOWS\system32\kdiwc.exe
C:\WINDOWS\system32\kdzko.exe
[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, System
kd???.exe
[b]Внешние проявления [/b](со слов пользователей)
Со страниц поисковиков и из адресной строки перенаправляет на другие сайты.
-
Trojan-Downloader.Win32.Small.hyi
[b]Алиасы[/b]
DeepScan:Generic.Malware.SYddld!!.62250B64 (BitDefender)
Downloader.Generic6.AFSF (AVG)
TR/Dldr.Small.hyi (AntiVir)
Trojan.DL.Small.ADKD (VirusBuster)
Trojan.Dldr.Small.hyi (Webwasher-Gateway)
Trojan.Downloader-22662 (ClamAV)
Trojan.DownLoader.45364 (DrWeb)
Trojan/Downloader.Small.hyi (TheHacker)
TrojanDownloader.Small.hyi (CAT-QuickHeal)
W32/DLoader.FKTQ (Norman)
W32/Downldr2.AZOS (F-Prot)
W32/Small.HYI!tr.dldr (Fortinet)
Win-Trojan/Downloader.5632.FZ (AhnLab-V3)
[b]Описание[/b]
Прописывает себя в автозапуск.
Вносит себя как имеющее доступ приложение в настройки Брандмауэра Windows.
Отключает режим автономной работы в Internet Explorer.
Пытается загрузить файлы с сайта [b]sbapodremer.biz[/b] (в нестоящее время не доступен).
Добавлен в базы 27 января.
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17033[/url]
[url]http://virusinfo.info/showthread.php?t=17034[/url]
[url]http://virusinfo.info/showthread.php?t=18854[/url]
[url]http://virusinfo.info/showthread.php?t=19545[/url]
[b]Файлы на диске[/b]
exe файл во временной папке со случайным именем, начинающемся с win, например:
c:\temp\wincpkwg.exe
c:\docume~1\admini~1\locals~1\temp\winlxrn.exe
5632 байт
[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, IpSec
%Temp%\win*.exe
%Temp% - временная папка.
* - несколько латинских букв.
-
FraudTool.Win32.UltimateDefender.cm
[b]Алиасы[/b]
Adware.UltimateX-89 (ClamAV)
Aplicacion/UltimateDefender.cm (TheHacker)
BackDoor.Ntrootkit.X (AVG)
FakeAlert-C.dr (McAfee)
FraudTool.UltimateDefender.cm (CAT-QuickHeal)
Rootkit/Nurech.BC (Panda)
TR/Agent.34304.19 (AntiVir)
Trojan.Agent.34304.19 (Webwasher-Gateway)
Trojan.Fakealert.458 (DrWeb)
VirTool:WinNT/Xantvi.A (Microsoft)
Win32:Agent-QNI (Avast)
Win32/Eldycow!generic (eTrust-Vet)
[url]http://www.virustotal.com/ru/analisis/463f98d8df3844ad692f97aec641caaa[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=19388[/url]
[url]http://virusinfo.info/showthread.php?t=19389[/url]
[url]http://virusinfo.info/showthread.php?t=19435[/url]
[url]http://virusinfo.info/showthread.php?t=19551[/url]
[url]http://virusinfo.info/showthread.php?t=20023[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\System32\Drivers\Beep.SYS
[b]Способ запуска[/b]
Подменяет собой системный драйвер с таким же именем и запускается вместо него.
[b]Внешние проявления [/b](со слов пользователей)
Блокирует запуск avz, hijackthis и др. антивирусных программ, но это решаемо сменой имени файлов.
-
[quote=AndreyKa;202357][B]Алиасы[/B]
Adware.UltimateX-89 (ClamAV)
Aplicacion/UltimateDefender.cm (TheHacker)
BackDoor.Ntrootkit.X (AVG)
FakeAlert-C.dr (McAfee)
FraudTool.UltimateDefender.cm (CAT-QuickHeal)
Rootkit/Nurech.BC (Panda)
TR/Agent.34304.19 (AntiVir)
Trojan.Agent.34304.19 (Webwasher-Gateway)
Trojan.Fakealert.458 (DrWeb)
VirTool:WinNT/Xantvi.A (Microsoft)
Win32:Agent-QNI (Avast)
Win32/Eldycow!generic (eTrust-Vet)
[URL]http://www.virustotal.com/ru/analisis/463f98d8df3844ad692f97aec641caaa[/URL]
[B]Встречен в темах[/B]
[URL]http://virusinfo.info/showthread.php?t=19388[/URL]
[URL]http://virusinfo.info/showthread.php?t=19389[/URL]
[URL]http://virusinfo.info/showthread.php?t=19435[/URL]
[URL]http://virusinfo.info/showthread.php?t=19551[/URL]
[B]Файлы на диске[/B]
C:\WINDOWS\System32\Drivers\Beep.SYS
[B]Способ запуска[/B]
Подменяет собой системный драйвер с таким же именем и запускается вместо него.
[B]Внешние проявления [/B](со слов пользователей)
Блокирует запуск avz, hijackthis и др. антивирусных программ, но это решаемо сменой имени файлов.[/quote]
Я пробил данный экспонат по базе анализатора, он был отловлен и изучен 5.03.2008. Он состоит из дроппера, который в случае запуска создает на диске C:\WINDOWS\system32\dllcache\figaro.sys. Затем он копирует figaro.sys поверх существующего C:\WINDOWS\system32\drivers\beep.sys, причем повторяет эту операцию три раза подряд (видимо для надежности, в том числе создавая копию в \dllcache). После этого он создает на диске C:\WINDOWS\system32\braviax.exe, и прописывает его в автозапуск в ключе Windows\CurrentVersion\Run. Затем он запрашивает системную привилегию SeShutdownPrivilege и при помощи системной функции ExitWindowsEx завершает работу системы. Далее он создает файл с именем delself.bat для самоуничтожение, запускает его и завершает работу (предполагается, что завершение работы потребует несколько секунд и BAT файл успеет отработать и стереть дроппер).
Анализатору известно 10 разновидностей данного зловреда, размер варьируется от 58 до 65 кб, дата первого обнаружения ITW 4.03.2008. Дропнутый файл BEEP.SYS имеет размер около 35 кб, отвечает за противодействие антивирусам и антивирусным утилитам. Блокировка по именам, в коде драйвера открытым текстом содержится база с именами файлов (в частности, он блокирует AVP, AVZ, GMER, GureIT, AVG ...).
-
Trojan.Win32.Dialer.yz
[b]Алиасы[/b]
BackDoor-CVT (McAfee)
Dialer-2137 (ClamAV)
Dialer.RME (AVG)
Troj/Nebule-Gen (Sophos)
Trojan:Win32/Adialer.OP (Microsoft)
Trojan.Dialer.yz (Ewido)
Trojan.Mezzia.91 (DrWeb)
Trojan.Mezzia.Gen (BitDefender)
Trojan.Nebuler (Symantec)
Trojan.Win32.Dialer.yz (VBA32)
Trojan/Dialer.yz (TheHacker)
W32/Nebule.YZ!tr (Fortinet)
W32/Smalldoor.dam (Norman)
W32/Trojan2.ABSU (F-Prot)
[url]http://www.virustotal.com/ru/analisis/a8734056acd2d6edf06d8ba4bcf7c7fb[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17317[/url]
[url]http://virusinfo.info/showthread.php?t=18295[/url]
[url]http://virusinfo.info/showthread.php?t=18962[/url]
[url]http://virusinfo.info/showthread.php?t=19551[/url]
[url]http://virusinfo.info/showthread.php?t=20569[/url]
[url]http://virusinfo.info/showthread.php?t=20881[/url]
[url]http://virusinfo.info/showthread.php?t=21581[/url]
[b]Файлы на диске[/b]
dll файл в папке \WINDOWS\SYSTEM32 со случайным именем, начинающимся с win и оканчивающимся на "32", например:
\WINDOWS\SYSTEM32\winpdc32.dll
\WINDOWS\system32\winpez32.dll
[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\[i]_имя_файла_[/i], DLLName
-
Backdoor.Win32.Small.cyb
[b]Алиасы[/b]
Backdoor.Small.CIG (BitDefender)
Backdoor.Small.cyb (CAT-QuickHeal)
Proxy.YRL (AVG)
Trj/Eldycow.B (Panda)
Troj/FakeVir-AU (Sophos)
Trojan.Perfcoo (Symantec)
Trojan.Proxy.1739 (DrWeb)
Trojan.Win32.Undef.dng (Rising)
TrojanDownloader:Win32/Eldycow.gen!A (Microsoft)
W32/PpcFake.A!tr (Fortinet)
W32/Smalltroj.CXSS (Norman)
Win32.TrojanProxy.Agent.NDN (VBA32)
Win32/Eldycow.AA (eTrust-Vet)
Win32/TrojanProxy.Agent.NDN (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/ee848d975795023b3bd6b21c7269f4fa[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=19388[/url]
[url]http://virusinfo.info/showthread.php?t=19389[/url]
[url]http://virusinfo.info/showthread.php?t=19551[/url]
[url]http://virusinfo.info/showthread.php?t=19727[/url]
[url]http://virusinfo.info/showthread.php?t=19940[/url]
[url]http://virusinfo.info/showthread.php?t=20023[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\cru629.dat
6144 байт
Устанавливается вместе с такими файлами как
C:\WINDOWS\system32\dllcache\beep.sys
C:\WINDOWS\system32\braviax.exe
C:\WINDOWS\system32\users32.dat
[b]Способ запуска[/b]
C:\WINDOWS\system32\cru629.dat
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
-
FraudTool.Win32.Reanimator.a
[b]Алиасы[/b]
Aplicacion/Reanimator.a (TheHacker)
Application/WinReanimator (Panda)
Downloader.Agent.ACAC (AVG)
Downloader.MisleadApp (Symantec)
FraudTool.Reanimator.a (CAT-QuickHeal)
PHISH/FraudTool.Reanimator.A (AntiVir)
SystemDefender:Spyware-a (Prevx1)
Trojan.Fakealert.452 (DrWeb)
W32/DLoader.FRGT (Norman)
W32/Reanimator.A (Fortinet)
Win-AppCare/Reanimator.308712 (AhnLab-V3)
Win32/Adware.WinReanimator (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/a7e9bc89a801713df2eda388f065d50f[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=19388[/url]
[url]http://virusinfo.info/showthread.php?t=19389[/url]
[url]http://virusinfo.info/showthread.php?t=19727[/url]
[url]http://virusinfo.info/showthread.php?t=19940[/url]
[url]http://virusinfo.info/showthread.php?t=20975[/url]
[b]Файлы на диске[/b]
C:\Program Files\WinReanimator\WinReanimator.exe
C:\Program Files\WinReanimator\WinReanimator.dll
и др.
[b]Способ запуска[/b]
Инсталятор. Устанавливается с сайта :http:www.winreanimator.com путем обмана посетителей, под видом программы, защищающей компьютер от вредоносного ПО.
Регулярно обновляется.
-
Backdoor.Win32.Small.cup
[b]Алиасы[/b]
Backdoor:Win32/Small.BA (Microsoft)
BackDoor.Generic9.SWO (AVG)
BackDoor.Kiddy (DrWeb)
Backdoor.Small.clw (Ewido)
Backdoor.Small.cup (CAT-QuickHeal)
BDS/Small.cty (AntiVir)
Trojan.Backdoor.Small.cty (Webwasher-Gateway)
Trojan.Small-5100 (ClamAV)
W32/DLoader.FNIJ (Norman)
Win-Trojan/Backdoor.13312.D (AhnLab-V3)
Win32:Small-CHC (Avast)
[url]http://www.virustotal.com/ru/analisis/027d05566dd44689fcc27716073b08ce[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18034[/url]
[url]http://virusinfo.info/showthread.php?t=18074[/url]
[url]http://virusinfo.info/showthread.php?t=19786[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\wininet.exe
C:\WINDOWS\system32\svc32_3.exe
13824 байт
Создает файл C:\WINDOWS\system32\svshost.dll - Backdoor.Win32.Small.cvg
-
FraudTool.Win32.Reanimator.a
[quote=AndreyKa;202664][B]Алиасы[/B]
Aplicacion/Reanimator.a (TheHacker)
Application/WinReanimator (Panda)
Downloader.Agent.ACAC (AVG)
Downloader.MisleadApp (Symantec)
FraudTool.Reanimator.a (CAT-QuickHeal)
PHISH/FraudTool.Reanimator.A (AntiVir)
SystemDefender:Spyware-a (Prevx1)
Trojan.Fakealert.452 (DrWeb)
W32/DLoader.FRGT (Norman)
W32/Reanimator.A (Fortinet)
Win-AppCare/Reanimator.308712 (AhnLab-V3)
Win32/Adware.WinReanimator (NOD32v2)
[URL]http://www.virustotal.com/ru/analisis/a7e9bc89a801713df2eda388f065d50f[/URL]
[B]Встречен в темах[/B]
[URL]http://virusinfo.info/showthread.php?t=19388[/URL]
[URL]http://virusinfo.info/showthread.php?t=19389[/URL]
[URL]http://virusinfo.info/showthread.php?t=19727[/URL]
[B]Файлы на диске[/B]
C:\Program Files\WinReanimator\WinReanimator.exe
C:\Program Files\WinReanimator\WinReanimator.dll
и др.
[B]Способ запуска[/B]
Инсталятор. Устанавливается с сайта :http:www.winreanimator.com путем обмана посетителей под видом программы защищающей компьютер от вредоносного ПО.
Регулярно обновляется.[/quote]
Данный ITW экспонат был изучен анализатором 22.02.2008, небольшое дополнение по его работе:
1. В процессе запуска зловред может выдать окно, якобы сообщение об ошибке (это делается для "отвода глаз" пользователя). Другие варианты выводят окно с прогресс-индикатором, показывающим процесс загрузки и установки
2. Обращается к сайту :http:www.winreanimator.com и загружает с него несколько ZIP архивов
3. Создает папку C:\Program Files\WinReanimator, дропает в нее библиотеку unzip32.dll, загружает ее и применяет для распаковки загруженных архивов. Далее в данной папке создаются файлы WinReanimator.exe WinReanimator.dll pthreadVC2.dll un.ico install.exe htmlayout.dll, папки Microsoft.VC80.CRT (с библиотеками MS msvcm80.dll msvcp80.dll msvcr80.dll) и папка DATA, в которой находится файл, судя по сигнатурам похожий на урезнанную базу от CLAV. install.exe - это копия загрузчика зловреда
4. WinReanimator.exe прописывается в автозапуск
Сам загрузчик написан на Delphi. Размер - 308 кб, на текущий момент известно 8 разновидностей. Созданный им да диске WinReanimator после установки запускается, "сканирует" систему. На эталонной системе Windows XP SP2 он "находит" 28 шпионских объектов, причем показывает в логе имена заведомо несуществующих в системе объектов. Для "лечения" необходимо купить программу ... За счет автозапуска процесс "сканирования" повторяется при каждой загрузке. При закрытии WinReanimator сворачивается в трей. У зловреда как правило есть действующий деинсталлятор
-
Trojan-Downloader.Win32.Tibs.vz
[b]Алиасы[/b]
I-Worm/Nuwar.N (AVG)
Storm.Worm (Sunbelt)
Trj/Alanchum.XH (Panda)
Trojan:Win32/Tibs.FS (Microsoft)
Trojan.DownLoader.19256 (DrWeb)
Trojan.Peed-154 (ClamAV)
TROJAN.PEED.AK (Prevx1)
Trojan.Peed.JAL (BitDefender)
Trojan.Tibs.Gen!Pac.G (VirusBuster)
Trojan.Win32.Zhelatin (VBA32)
Trojan/Downloader.Tibs.vz (TheHacker)
W32/Tibs.BNJZ (Norman)
W32/Tibs.L.gen!Eldorado (F-Prot)
Win32.Trojan-Downloader.Tibs.qt.4 (CAT-QuickHeal)
Win32/SillyDl.DZN (eTrust-Vet)
WORM/Zhelatin.Gen (AntiVir)
[url]http://www.virustotal.com/ru/analisis/8bf917fe13b0472c98853fa49e93c067[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=19250[/url]
[url]http://virusinfo.info/showthread.php?t=19709[/url]
[url]http://virusinfo.info/showthread.php?t=19977[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\wind32.exe
или
C:\WINDOWS\system32\win32.exe
16848 байт
[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, System
[b]Примечание[/b]
Детектируется эвристиком AVZ: Подозрение на Trojan-Downloader.Win32.Tibs.wc
Обращается к сайту bestnums.net
-
Trojan-Downloader.Win32.Agent.leu, Trojan-Downloader.Win32.Agent.mkb
[b]Алиасы[/b]
Downloader.Agent.ADKO (AVG)
Spammer:Win32/Newacc.A (Microsoft)
TR/Dldr.Agent.leu.1 (AntiVir)
Trojan.Dldr.Agent.leu.1 (Webwasher-Gateway)
Trojan.DownLoader.50217 (DrWeb)
TrojanDownloader.Agent.leu (CAT-QuickHeal)
W32/Agent.EVGM (Norman)
W32/Agent.LEU!tr.dldr (Fortinet)
Win32/Spy.Agent.NFN (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/56688a275b4e11a467244ea3de753f14[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=19777[/url]
[url]http://virusinfo.info/showthread.php?t=19849[/url]
[url]http://virusinfo.info/showthread.php?t=19996[/url]
[url]http://virusinfo.info/showthread.php?t=20020[/url]
[url]http://virusinfo.info/showthread.php?t=20030[/url]
[url]http://virusinfo.info/showthread.php?t=20091[/url]
[b]Файлы на диске[/b]
Файлы с расширением [b]tmp[/b] и именем начинающимся с [b]bn[/b] в папке c:\windows\temp, например:
c:\windows\temp\bn3.tmp
c:\windows\temp\bnf.tmp
46080 байт
[b]Способ запуска[/b]
Загружается из Интернета и запускается другой вредоносной программой (предположительно [b]Trojan-Downloader.Win32.Agent.kif[/b]).
[b]Внешние проявления [/b](со слов пользователей)
Запускаются лишние процессы svchost.exe и Internet Explorer.
Отличия [b]Trojan-Downloader.Win32.Agent.mkb
Дополнительные алиасы[/b]
Downloader.Agent.AEWS (AVG)
TR/Dldr.Agent.mkb.5 (AntiVir)
Trojan.Dldr.Agent.mkb.5 (Webwasher-Gateway)
Trojan.DownLoader.56617 (DrWeb)
W32/Agent.FDVK (Norman)
Win-Trojan/Agent.46592.CZ (AhnLab-V3)
Win32/SillyDl.EDE (eTrust-Vet)
[url]http://www.virustotal.com/ru/analisis/e96507cb4a823d799ce042084c3665f1[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=21013[/url]
[url]http://virusinfo.info/showthread.php?t=21056[/url]
[url]http://virusinfo.info/showthread.php?t=21113[/url]
[url]http://virusinfo.info/showthread.php?t=21129[/url]
[url]http://virusinfo.info/showthread.php?t=21140[/url]
[url]http://virusinfo.info/showthread.php?t=21208[/url]
[url]http://virusinfo.info/showthread.php?t=21648[/url]
[url]http://virusinfo.info/showthread.php?t=21818[/url]
[url]http://virusinfo.info/showthread.php?t=21829[/url]
[b]Файлы на диске[/b]
46592 байт
[b]Способ запуска[/b]
Загружается из Интернета и запускается другой вредоносной программой (одной из семейства Trojan-Downloader.Win32.Mutant).
-
Rootkit.Win32.Agent.abe, Trojan.Win32.Srizbi.j
[b]Алиасы[/b]
Agent.2.BT (AVG)
Rootkit.Agent.aaq (Ewido)
Rootkit.Srizbi.Gen (VirusBuster)
Rootkit/Agent.FGN (Panda)
Srizbi.sys (McAfee)
Troj/RKAgen-Fam (Sophos)
Trojan:Win32/Srizbi.gen (Microsoft)
Trojan.Sentinel (DrWeb)
Trojan.Srizbi.a (CAT-QuickHeal)
Trojan.Srizbi.AX (BitDefender)
Trojan.Win32.Undef.czb (Rising)
Trojan/Agent.abe (TheHacker)
W32/Rootkit.AVX (Norman)
W32/Trojan2.UOG (F-Prot)
Win-Trojan/Rootkit.167424 (AhnLab-V3)
Win32:Srizbi (Avast)
[url]http://www.virustotal.com/ru/analisis/c61f5ffed458cfdc479ebff54f43941d#[/url]
[b]Описание[/b]
Рассылает спам, использует методы руткита для сокрытия своего присутствия в системе. Запускается в безопасном режиме загрузки Windows.
Детектируется эвристиком AVZ: [b]Подозрение на Trojan.Win32.Srizbi.j[/b]
Функционирует как модуль пространства ядра. В списке драйверов AVZ отсутствует.
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18620[/url]
[url]http://virusinfo.info/showthread.php?t=19409[/url]
[url]http://virusinfo.info/showthread.php?t=19821[/url]
[url]http://virusinfo.info/showthread.php?t=20185[/url]
[url]http://virusinfo.info/showthread.php?t=20680[/url]
[url]http://virusinfo.info/showthread.php?t=20690[/url]
[b]Файлы на диске[/b]
Драйвер в папке C:\WINDOWS\system32\Drivers со случайным именем с двумя цифрами на конце, например:
C:\WINDOWS\system32\Drivers\Urbh37.sys
C:\WINDOWS\system32\drivers\grande48.sys
167936 байт
[b]Способ запуска[/b]
Драйвер.
Отличия [b]Trojan.Win32.Srizbi.j
Дополнительные алиасы[/b]
Rootkit/Agent.IGL (Panda)
Trojan.Rootkit-654 (ClamAV)
Trojan.Srizbi.j (Ewido)
W32/RKAgen.J!tr (Fortinet)
Win32.Srizbi.j (eSafe)
Win32/Rootkit.Agent.HU (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/3d6375a2b21e1abe98b335385840a0c5[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=19858[/url]
[url]http://virusinfo.info/showthread.php?t=20185[/url]
[url]http://virusinfo.info/showthread.php?t=20222[/url]
-
Rootkit.Win32.Podnuha.ak и Rootkit.Win32.Podnuha.ay
[b]Алиасы[/b]
RKIT/Podnuha.AK.1 (AntiVir)
Rootkit.Podnuha.AK.1 (Webwasher-Gateway)
Trojan:Win32/Boaxxe.B (Microsoft)
Trojan.DownLoader.54066 (DrWeb)
Trojan/Podnuha.ak (TheHacker)
W32/Podnuha.AK!tr.rkit (Fortinet)
W32/Rootkit.EKT (Norman)
[url]http://www.virustotal.com/ru/analisis/6238c0f4156b753931f855f44fbca11b[/url]
[b]Описание[/b]
Функцонирует как модуль Проводника.
Удаляет из автозагрузки SpybotSD TeaTimer.
Может детектироватся AVZ как: Подозрение на Rootkit.Win32.Podnuha.al
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=19430[/url]
[url]http://virusinfo.info/showthread.php?t=20048[/url]
[url]http://virusinfo.info/showthread.php?t=20373[/url]
[b]Файлы на диске[/b]
dll файл в папке C:\WINDOWS\system32 со случайным именем, например:
c:\windows\system32\adsnd.dll
C:\WINDOWS\system32\pstorsv.dll
[b]Способ запуска[/b]
Модуль расширения Internet Explorer, BHO
CLSID случайный.
Отличия [b]Rootkit.Win32.Podnuha.ay
Дополнительные Алиасы[/b]
BackDoor.Generic9.ADUG (AVG)
RKIT/Podnuha.AY.2 (AntiVir)
Rootkit.Podnuha.AY.2 (Webwasher-Gateway)
Trojan.DownLoader.54960 (DrWeb)
Trojan/Podnuha.ay (TheHacker)
W32/Podnuha.AY!tr.rkit (Fortinet)
W32/Rootkit.EQN (Norman)
Win-Trojan/Podnuha.98048.D (AhnLab-V3)
[url]http://www.virustotal.com/ru/analisis/eb9d7c0abf22f0c1e9a339e3f647f113[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=19996[/url]
[url]http://virusinfo.info/showthread.php?t=20247[/url]
[url]http://virusinfo.info/showthread.php?t=20412[/url]
[url]http://virusinfo.info/showthread.php?t=21622[/url]
-
Trojan.Win32.ConnectionServices.r и Trojan.Win32.ConnectionServices.w
[b]Алиасы[/b]
Adware.BitAcc (DrWeb)
Generic10.UZ (AVG)
Trojan.Generic.133331 (BitDefender)
TrojanClicker:Win32/RuPass (Microsoft)
W32/Trojan2.AFYX (F-Prot)
[url]http://www.virustotal.com/ru/analisis/7d08f534305de50032fa5fc851ce29ad[/url]
[b]Описание[/b]
Распространяется сайтом letitbit.net под видом "ускорителя":
[quote=letitbit.net]Bit Accelerator
позволяет увеличить скорость до 10 раз. Установите нашу программу и получите файл[/quote]
Широкое распространение данного трояна обеспечивает схема подкупа распространителей ссылок:
[quote=letitbit.net]Мы платим вам деньги за уникальные загрузки ваших файлов.
Цена за 1000 уникальных доунлоадов, варьируется, от 5$ до 15$ - в зависимости от качества трафика (посетителей)[/quote]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=19917[/url]
[url]http://virusinfo.info/showthread.php?t=20246[/url]
[url]http://virusinfo.info/showthread.php?t=20270[/url]
[url]http://virusinfo.info/showthread.php?t=20406[/url]
[url]http://virusinfo.info/showthread.php?t=20563[/url]
[url]http://virusinfo.info/showthread.php?t=22924[/url]
[b]Файлы на диске[/b]
c:\program files\connectionservices\connectionservices.dll
454144 байт
[b]Способ запуска[/b]
Модули расширения Internet Explorer, BHO
CLSID {6D7B211A-88EA-490c-BAB9-3600D8D7C503}
[b]Внешние проявления [/b](со слов пользователей)
Переадресация браузера на ненужные сайты.
Отличия [b]Trojan.Win32.ConnectionServices.w
Алиасы[/b]
Fakesvc.D (AVG)
TR/ConnectionServices.W (AntiVir)
Trojan.BhoSpy.2 (DrWeb)
Trojan.Clicker.Win32.ConnectionSrv.a (Rising)
Trojan.ConnectionServices.w (CAT-QuickHeal)
Trojan.Generic.241832 (BitDefender)
Trojan.Spy-32751 (ClamAV)
TrojanClicker:Win32/RuPass.B (Microsoft)
W32/BitAccelerator.HF (Norman)
W32/ConnectionServices.W!tr (Fortinet)
[url]http://www.virustotal.com/ru/analisis/5a34b727b7559197e35d40ee7d68631e[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=21600[/url]
[url]http://virusinfo.info/showthread.php?t=22786[/url]
[url]http://virusinfo.info/showthread.php?t=22924[/url]
[url]http://virusinfo.info/showthread.php?t=23040[/url]
[url]http://virusinfo.info/showthread.php?t=23067[/url]
[url]http://virusinfo.info/showthread.php?t=23165[/url]
[url]http://virusinfo.info/showthread.php?t=23532[/url]
[url]http://virusinfo.info/showthread.php?t=23539[/url]
[url]http://virusinfo.info/showthread.php?t=23729[/url]
[b]Файл на диске[/b]
462336 байт
-
Trojan.Win32.Agent.gjv, Trojan.Win32.Agent.fde, Trojan.Win32.Agent.fxk
[b]Алиасы[/b]
Agent.QZP (AVG)
TR/Agent.iae (AntiVir)
Trojan.Agent.hhc (CAT-QuickHeal)
Trojan.DL.BServ.Gen (VirusBuster)
Trojan.Inject.GF (BitDefender)
Trojan.Okuks (DrWeb)
W32/Agent.EWQN (Norman)
Win-Trojan/Agent.24576.KW (AhnLab-V3)
[url]http://www.virustotal.com/ru/analisis/b3bd17f7bc171362244a3a6feccec295[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=19996[/url]
[url]http://virusinfo.info/showthread.php?t=20544[/url]
[url]http://virusinfo.info/showthread.php?t=20547[/url]
[url]http://virusinfo.info/showthread.php?t=20569[/url]
[url]http://virusinfo.info/showthread.php?t=20632[/url]
[url]http://virusinfo.info/showthread.php?t=20907[/url]
[b]Файлы на диске[/b]
Файл со случайным именем (base*32.dll) в папке C:\WINDOWS\system32, например:
C:\WINDOWS\system32\basesecn32.dll
24576 байт
[b]Способ запуска[/b]
Прописывает свой автозапуск в реестре оригинальным способом, в ключе [b]Windows[/b] раздела [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems].
Так что при удалениии файла компьютер не может загрузиться в любом режиме.
[b]Примечание[/b]
Антивирус DrWeb CureIt! может либо "вылечить" троянскую библиотеку, чтобы она загружалась, но была безвредной, либо удалить, исправив при этом реестр.
В случае, если файл уже был удален и загрузка не возможна, загрузитесь с загрузочного диска типа Bart CD и скопируйте имеющийся в папке С:\WINDOWS\system32 файл basesrv.dll в ту же папку под именем удаленного файла.
Отличия [b]Trojan.Win32.Agent.fde
Дополнительные алиасы[/b]
Agent.OHU (AVG)
TR/Agent.fde.1 (AntiVir)
Trj/Agent.HYT (Panda)
Trojan:Win32/Agent.ADH (Microsoft)
Trojan.Agent.fbo (CAT-QuickHeal)
Trojan.Agent.fde.1 (Webwasher-Gateway)
Trojan.DoS.Win32.Opdos (Prevx1)
W32/Agent.EGPL (Norman)
Win-Trojan/Agent.24576.KO (AhnLab-V3)
Win32/BHO.NCK (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/01253affb09b0398a67ff766f6541c02[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=19313[/url]
[url]http://virusinfo.info/showthread.php?t=19346[/url]
[url]http://virusinfo.info/showthread.php?t=20772[/url]
Отличия [b]Trojan.Win32.Agent.fxk
Дополнительные алиасы[/b]
Agent.PRJ (AVG)
W32/Agent.EXRV (Norman)
Win-Trojan/Agent.24576.KH (AhnLab-V3)
[url]http://www.virustotal.com/ru/analisis/b3bd17f7bc171362244a3a6feccec295[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18609[/url]
[url]http://virusinfo.info/showthread.php?t=19006[/url]
[url]http://virusinfo.info/showthread.php?t=19121[/url]
[url]http://virusinfo.info/showthread.php?t=20397[/url]
[url]http://virusinfo.info/showthread.php?t=20714[/url]
[url]http://virusinfo.info/showthread.php?t=20907[/url]
[url]http://virusinfo.info/showthread.php?t=22199[/url]
-
Trojan-Downloader.Win32.Small.trp, Worm.Win32.Socks.au
[b]Алиасы[/b]
Downloader.Generic7.DOA (AVG)
TR/Dldr.Small.trp (AntiVir)
Trojan.Dldr.Small.trp (Webwasher-Gateway)
Trojan.PWS.Pace (DrWeb)
TrojanDownloader.Small.trp (CAT-QuickHeal)
W32/DLoader.GLCE (Norman)
[url]http://www.virustotal.com/ru/analisis/1361258e0f7acada7fc3f2cfbe61fc04[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=20782[/url]
[url]http://virusinfo.info/showthread.php?t=20884[/url]
[url]http://virusinfo.info/showthread.php?t=20930[/url]
[url]http://virusinfo.info/showthread.php?t=20944[/url]
[url]http://virusinfo.info/showthread.php?t=21388[/url]
[url]http://virusinfo.info/showthread.php?t=21555[/url]
[url]http://virusinfo.info/showthread.php?t=21725[/url]
[url]http://virusinfo.info/showthread.php?t=22211[/url]
[b]Файлы на диске[/b]
%UserProfile%\cftmon.exe
C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
c:\windows\system32\drivers\spools.exe
Файлы имеют случайный размер, так как в конец файла дописывается "мусор".
[b]Способ запуска[/b]
1) Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, autoload
%UserProfile%\cftmon.exe
2) Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, autoload
%UserProfile%\cftmon.exe
3) Нестандартный ключ Shell\Open для "exefile": "C:\WINDOWS\system32\drivers\spools.exe "%1" %*"
Отличия [b]Worm.Win32.Socks.au
Алиасы[/b]
PSW.Agent.SPY (AVG)
Trojan.DownLoader.56630 (DrWeb)
W32/Socks.au (TheHacker)
W32/Socks.B.worm (Panda)
Win32:Socks-F (Avast)
Win32.Worm.Socks.D (BitDefender)
Win32/PSW.Agent.NHI (NOD32v2)
Win32/Ruternam!generic.2 (eTrust-Vet)
Worm:Win32/Agent.AF (Microsoft)
Worm.Socks-3 (ClamAV)
Worm.Socks.C (VirusBuster)
Worm/Socks.AU (AntiVir)
[url]http://www.virustotal.com/ru/analisis/4dd83cd7c38df98c77ddab0fd1d767bd[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=21064[/url]
[url]http://virusinfo.info/showthread.php?t=21096[/url]
[url]http://virusinfo.info/showthread.php?t=21169[/url]
[url]http://virusinfo.info/showthread.php?t=21195[/url]
[url]http://virusinfo.info/showthread.php?t=22211[/url]
[b]Дополнительные способы запуска[/b]
4) Служба: Schedule
Описание: Планировщик заданий
C:\WINDOWS\system32\drivers\spool.exe
Группа: SchedulerGroup
5) Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, ntuser
C:\WINDOWS\system32\drivers\spools.exe
6) Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, ntuser
C:\WINDOWS\system32\drivers\spools.exe
-
Trojan.Win32.Pakes.clw
[b]Алиасы[/b]
Backdoor.SDBot.DFCV (BitDefender)
Generic10.FSZ (AVG)
Mal/Emogen-G (Sophos)
Trojan.DoS.Win32.Opdos (Prevx1)
Trojan.Pakes.clw (CAT-QuickHeal)
Trojan.Proxy.3057 (DrWeb)
W32/Smalltroj.DQHU (Norman)
[url]http://www.virustotal.com/ru/analisis/779273e9c30c6029b41308e59a6b56d2[/url]
[b]Описание[/b]
Функционирует как модуль процесса c:\windows\system32\winlogon.exe
Рассылает спам.
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=20794[/url]
[url]http://virusinfo.info/showthread.php?t=20925[/url]
[url]http://virusinfo.info/showthread.php?t=21027[/url]
[url]http://virusinfo.info/showthread.php?t=21837[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\sysfldr.dll
14336 байт
[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sysfldr, DLLName
Файл: sysfldr.dll
[b]Внешние проявления [/b](со слов пользователей)
Постоянная сетевая активность при подключении к Интернету.
-
Trojan-Downloader.Win32.Agent.lsw
[b]Алиасы[/b]
Downloader.Agent.ADPL (AVG)
TR/Dldr.Agent.lsw (AntiVir)
Trj/Downloader.TAV (Panda)
Troj/Agent-GUC (Sophos)
TROJAN.AGENT.GEN (Prevx1)
Trojan.CL.Zirit.B (VirusBuster)
Trojan.Click.18023 (DrWeb)
Trojan.Clicker.Win32.Undef.c (Rising)
Trojan.Dldr.Agent.lsw (Webwasher-Gateway)
Trojan.Downloader.JJSF (BitDefender)
Trojan.Dropper-5285 (ClamAV)
Trojan/Downloader.Agent.lsw (TheHacker)
TrojanClicker:Win32/Zirit.X (Microsoft)
TrojanDownloader.Agent.lsw (CAT-QuickHeal)
W32/Agent.LSW!tr.dldr (Fortinet)
W32/Downldr2.BGGB (F-Prot)
Win-Trojan/Agent.14378.B (AhnLab-V3)
Win32:Agent-SVM (Avast)
Win32/SillyDl.EBM (eTrust-Vet)
Win32/TrojanClicker.Agent.NCU (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/88f08aa469ec4c6af3157b91054c40b6[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=20280[/url]
[url]http://virusinfo.info/showthread.php?t=20596[/url]
[url]http://virusinfo.info/showthread.php?t=21169[/url]
[b]Файлы на диске[/b]
dll файл в подпапке со случайным именем папки C:\WINDOWS\Installer. Имя файла может быть разным:
C:\WINDOWS\Installer\{d7c88581-a5ad-41f5-986d-2a963e850500}\AlrtCheck.dll
C:\WINDOWS\Installer\{8f200620-9bdd-48f4-9fb6-53abb00f8173}\UnknownSrv.dll
C:\WINDOWS\Installer\{30b210fd-2fae-4432-97f1-3668528dff51}\RunOnceAlrt.dll
14378 байт.
[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad
-
Trojan-Dropper.Win32.Small.apl
[b]Алиасы[/b]
Dropper.Small.apl (Ewido)
Dropper.Win32.Agent.nxs (Rising)
Dropper/Downloader.70207 (AhnLab-V3)
Generic.VDU (AVG)
TR/Drop.Small.apl (AntiVir)
Trj/Dropper.UN (Panda)
Troj/Dropper-LC (Sophos)
Trojan.Drop.Small.apl (Webwasher-Gateway)
Trojan.Dropper-829 (ClamAV)
Trojan.Dropper.Small.APL (BitDefender)
Trojan.MulDrop.4181 (DrWeb)
TrojanDropper.Small.apl (CAT-QuickHeal)
W32/Dropper.BMZ (F-Prot)
W32/Perlovga (McAfee)
W32/Smalldrp.JHW (Norman)
Win32:Agent-ILR (Avast)
Win32.Small.apl (eSafe)
Win32/Perlovga.A (eTrust-Vet)
Win32/TrojanDropper.Small.APL (NOD32v2)
Worm:Win32/Perlovga.dr (Microsoft)
Worm.DR.Perlovga.B (VirusBuster)
[url]http://www.virustotal.com/ru/analisis/f37654464b76e236922d61796d527dda[/url]
[b]Описание[/b]
При запуске создает и запускает вредоносные файлы:
C:\WINDOWS\system32\temp2.exe - [b]Backdoor.Win32.Small.lo[/b]
C:\WINDOWS\system32\temp1.exe - [b]Worm.Win32.Perlovga.c[/b]
Пытается подключиться к hnmy.3322.org:8888
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=20496[/url]
[url]http://virusinfo.info/showthread.php?t=20507[/url]
[url]http://virusinfo.info/showthread.php?t=20508[/url]
[url]http://virusinfo.info/showthread.php?t=22099[/url]
[url]http://virusinfo.info/showthread.php?t=22155[/url]
[url]http://virusinfo.info/showthread.php?t=22358[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\svchost.exe
70207 байт
[b]Способ запуска[/b]
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Windows, Load
Файл: C:\WINDOWS\svchost.exe
-
AdWare.Win32.BHO.ajq
[b]Алиасы[/b]
Ad-Spyware.Bho.ajq.2 (Webwasher-Gateway)
ADSPY/Bho.ajq.2 (AntiVir)
Adware Generic3.YB (AVG)
AdWare.BHO.ajq (CAT-QuickHeal)
Troj/BHO-FA (Sophos)
Trojan.BHO.Delf.M (BitDefender)
Trojan.BHO.HCZ (VirusBuster)
W32/BHO.BXO (Norman)
Win32/Adware.BHO.AJQ (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/9a95b8dfe387670da7897e860454f920[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=20700[/url]
[url]http://virusinfo.info/showthread.php?t=20796[/url]
[url]http://virusinfo.info/showthread.php?t=20944[/url]
[url]http://virusinfo.info/showthread.php?t=21195[/url]
[url]http://virusinfo.info/showthread.php?t=21555[/url]
[url]http://virusinfo.info/showthread.php?t=21824[/url]
[url]http://virusinfo.info/showthread.php?t=21829[/url]
[url]http://virusinfo.info/showthread.php?t=22211[/url]
[b]Файлы на диске[/b]
c:\autoex.dll
444416 байт
[b]Способ запуска[/b]
BHO
CLSID: {F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2}
Файл: c:\autoex.dll
-
Trojan-Downloader.Win32.Mutant.ci, Trojan-Downloader.Win32.Mutant.da, Trojan-Downloader.Win32.Mutant.hx
[b]Алиасы[/b]
Downloader.Generic7.EBJ (AVG)
TR/Agent.11264.71 (AntiVir)
Trj/BedeTres.Q (Panda)
Trojan.Agent.11264.71 (Webwasher-Gateway)
Trojan.DownLoader.54123 (DrWeb)
Trojan.DR.Pandex.Gen.4 (VirusBuster)
Trojan.Kobcka.DK (BitDefender)
Trojan.Win32.Undef.ems (Rising)
TrojanDownloader.Mutant.ci (CAT-QuickHeal)
TrojanDropper:Win32/Cutwail.Z (Microsoft)
W32/DLoader.GMYU (Norman)
W32/Mutant.CI!tr.dldr (Fortinet)
Win32/Cutwail!generic.1 (eTrust-Vet)
[url]http://www.virustotal.com/ru/analisis/49672d9dcf5033a08207b9906c072ccd[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=20908[/url]
[url]http://virusinfo.info/showthread.php?t=20925[/url]
[url]http://virusinfo.info/showthread.php?t=20933[/url]
[url]http://virusinfo.info/showthread.php?t=20988[/url]
[url]http://virusinfo.info/showthread.php?t=21027[/url]
[url]http://virusinfo.info/showthread.php?t=21031[/url]
[url]http://virusinfo.info/showthread.php?t=21126[/url]
[url]http://virusinfo.info/showthread.php?t=21195[/url]
[url]http://virusinfo.info/showthread.php?t=21208[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\WLCtrl32.dll
10752 байт
[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32,
DLLName: WLCtrl32.dll
Отличия [b]Trojan-Downloader.Win32.Mutant.da
Дополнительные алиасы[/b]
Dropper.Win32.Agent.zij (Rising)
TR/Dldr.Mutant.CZ (AntiVir)
Trojan.Cutwail.z (CAT-QuickHeal)
Trojan.Dldr.Mutant.CZ (Webwasher-Gateway)
Trojan.Downloader-29322 (ClamAV)
Trojan.DownLoader.54123 (DrWeb)
Trojan.Kobcka.DM (BitDefender)
[url]http://www.virustotal.com/ru/analisis/a1a80867b8384d78ba5fbc2c046d8b8b[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=21068[/url]
[url]http://virusinfo.info/showthread.php?t=21100[/url]
[url]http://virusinfo.info/showthread.php?t=21129[/url]
Отличия [b]Trojan-Downloader.Win32.Mutant.hx
Дополнительные алиасы[/b]
Dropper.Win32.Cutwail.s (Rising)
Trojan.DownLoader.56882 (DrWeb)
TrojanDownloader.Mutant.hx (CAT-QuickHeal)
Win32/Wigon.BP (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/c9ad0e13bf1aac33b859523b4353ed61[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=21013[/url]
[url]http://virusinfo.info/showthread.php?t=21310[/url]
[url]http://virusinfo.info/showthread.php?t=21320[/url]
[url]http://virusinfo.info/showthread.php?t=21348[/url]
[url]http://virusinfo.info/showthread.php?t=21356[/url]
[url]http://virusinfo.info/showthread.php?t=21379[/url]
[url]http://virusinfo.info/showthread.php?t=21380[/url]
[url]http://virusinfo.info/showthread.php?t=21388[/url]
[url]http://virusinfo.info/showthread.php?t=21555[/url]
[url]http://virusinfo.info/showthread.php?t=21944[/url]
-
Rootkit.Win32.Agent.aag, Rootkit.Win32.Agent.aih
[b]Алиасы[/b]
BackDoor.Generic9.TDG (AVG)
Rootkit.575 (BitDefender)
Rootkit.Agent.aag (Ewido)
Rootkit/Agent.IFM (Panda)
Spammer:WinNT/Srizbi.A (Microsoft)
Trojan.Rootkit-761 (ClamAV)
Trojan.Spambot.2830 (DrWeb)
Trojan.Srizbi (Symantec)
Trojan/Agent.aag (TheHacker)
W32/Agent.AAG!tr.rkit (Fortinet)
W32/Rootkit.APT (F-Prot)
W32/Rootkit.DHI (Norman)
Win-Trojan/Agent.143872.I (AhnLab-V3)
[url]http://www.virustotal.com/ru/analisis/639af0112b5428e8e072fe378960bbe4[/url]
[b]Описание[/b]
Функционирует как модуль пространства ядра.
Рассылает СПАМ.
Руткит противодействует AVZ, при выполнении стандартных скриптов вызывается неустранимая ошибка (BSOD) и компьютер перезагружается. Загружается и в безопасном режиме.
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=20592[/url]
[url]http://virusinfo.info/showthread.php?t=21064[/url]
[url]http://virusinfo.info/showthread.php?t=21555[/url]
[b]Файлы на диске[/b]
Драйвер в папке C:\WINDOWS\system32\Drivers со случайным именем с двумя цифрами на конце, например:
C:\WINDOWS\System32\Drivers\Qnj38.sys
C:\WINDOWS\system32\drivers\symavc32.sys
143872 байт
[b]Способ запуска[/b]
Драйвер. В логе AVZ виден только как работающий модуль пространства ядра.
Отличия [b]Rootkit.Win32.Agent.aih
Дополнительные алиасы[/b]
Generic10.FSN (AVG)
Rootkit.Agent.aih (CAT-QuickHeal)
Rootkit.Srizbi.Gen (VirusBuster)
Rootkit/Agent.IGL (Panda)
Spammer:WinNT/Srizbi.gen (Microsoft)
Srizbi.sys (McAfee)
Trojan.Rootkit-654 (ClamAV)
Trojan.Sentinel (DrWeb)
Trojan.Srizbi.AX (BitDefender)
Trojan.Srizbi.j (Ewido)
Trojan.Win32.Srizbi.j (VBA32)
Trojan.Win32.Undef.czb (Rising)
W32/Rootkit.AVX (Norman)
W32/Trojan2.UOG (F-Prot)
Win-Trojan/Rootkit.167424 (AhnLab-V3)
Win32.Srizbi.j (eSafe)
Win32/Agent.NRK (NOD32v2)
Win32/Fuzfle.AN (eTrust-Vet)
[url]http://www.virustotal.com/ru/analisis/0b7b7b7c90b1fe3db803a7d875acbee4[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=21555[/url]
[url]http://virusinfo.info/showthread.php?t=22141[/url]
[url]http://virusinfo.info/showthread.php?t=22165[/url]
[url]http://virusinfo.info/showthread.php?t=22211[/url]
[url]http://virusinfo.info/showthread.php?t=22317[/url]
[url]http://virusinfo.info/showthread.php?t=22383[/url]
[url]http://virusinfo.info/showthread.php?t=22421[/url]
[url]http://virusinfo.info/showthread.php?t=23005[/url]
[url]http://virusinfo.info/showthread.php?t=23626[/url]
[url]http://virusinfo.info/showthread.php?t=24009[/url]
[url]http://virusinfo.info/showthread.php?t=24016[/url]
[b]Файл на диске[/b]
167936 байт
-
Email-Worm.Win32.Bagle.of
[b]Алиасы[/b]
I-Worm.Bagle.of (CAT-QuickHeal)
Mal/Behav-191 (Sophos)
TR/Bagle.Gen.B (AntiVir)
Trojan.Bagle.Gen.B (Webwasher-Gateway)
W32/Bagle.gen (McAfee)
W32/Bagle.RP.worm (Panda)
W32/PackBag.A (Fortinet)
Win32.Bagle.SUQ@mm (BitDefender)
Win32.HLLM.Beagle (DrWeb)
Worm:Win32/Bagle.gen!C (Microsoft)
[url]http://www.virustotal.com/ru/analisis/486f8a3942d17cc65f8bd681b5b9761a[/url]
[b]Описание[/b]
Почтовый червь.
Останавливает службы:
- ALG "Служба шлюза уровня приложения"
- RasMan "Диспетчер подключений удаленного доступа"
- SharedAccess "Брандмауэр Windows/Общий доступ к Интернету (ICS)"
- TapiSrv "Телефония"
- wscsvc "Центр обеспечения безопасности"
Использует технологию руткита для сокрытия присутствия в операционной системе.
Препятствует запуску антивирусных программ по именам файлов.
У всех файлов одинаковая контрольная сумма CRC32: 2144DF1C, не смотря на то, что содержимое файлов разное.
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17148[/url]
[url]http://virusinfo.info/showthread.php?t=17312[/url]
[url]http://virusinfo.info/showthread.php?t=20072[/url]
[url]http://virusinfo.info/showthread.php?t=21586[/url]
[url]http://virusinfo.info/showthread.php?t=21685[/url]
[url]http://virusinfo.info/showthread.php?t=23473[/url]
[b]Файлы на диске[/b]
C:\windows\system32\wintems.exe
C:\windows\system32\mdelk.exe
Встречается вместе с файлами семейства Trojan-Downloader.Win32.Bagle:
C:\windows\system32\drivers\hldrrr.exe
C:\windows\system32\drivers\srosa.sys
[b]Способ запуска[/b]
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, german.exe
Файл: C:\WINDOWS\system32\wintems.exe
-
AdWare.Win32.Virtumonde.pmw
[b]Алиасы[/b]
Sus/Behav-200 (Sophos)
Trojan.Virtumod.367 (DrWeb)
Trojan.Vundo.EHW (BitDefender)
W32/Virtumonde.URK (Norman)
[url]http://www.virustotal.com/ru/analisis/aea0b7a2cb6d782c0aaa77ecb0fcc74b[/url]
[b]Описание[/b]
Рекламная программа, показывающая всплывающие сообщения.
Функционирует как модуль сразу нескольких процессов.
Встречается вместе с другими представителями семейства AdWare.Win32.Virtumonde.
Экземпляры файлов отличаются друг от друга приписанным в конце файла случайным набором чисел.
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=21839[/url]
[url]http://virusinfo.info/showthread.php?t=21860[/url]
[url]http://virusinfo.info/showthread.php?t=21879[/url]
[b]Файлы на диске[/b]
Файл dll со случайным именем из букв в папке C:\WINDOWS\system32, например:
C:\Windows\system32\tuvrqojg.dll
88128 байт
[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run
-
Trojan.Win32.Pakes.csd, Trojan.Win32.SubSys.ce
[b]Алиасы[/b]
Generic10.OWF (AVG)
Trojan.Agent.AGKK (BitDefender)
Trojan.Okuks.27 (DrWeb)
Trojan.Pakes.csd (CAT-QuickHeal)
W32/Agent.AZ.gen!Eldorado (F-Prot)
[url]http://www.virustotal.com/ru/analisis/40dcdf003275d59aa465d5fe0dcbbc41[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=21668[/url]
[url]http://virusinfo.info/showthread.php?t=21896[/url]
[url]http://virusinfo.info/showthread.php?t=21940[/url]
[url]http://virusinfo.info/showthread.php?t=21952[/url]
[url]http://virusinfo.info/showthread.php?t=22062[/url]
[url]http://virusinfo.info/showthread.php?t=22107[/url]
[b]Файлы на диске[/b]
Файл со случайным именем (base*32.dll) в папке C:\WINDOWS\system32, например:
C:\WINDOWS\system32\baseouqwr32.dll
24576 байт
[b]Способ запуска[/b]
Прописывает свой запуск в реестре, в ключе [b]Windows[/b] раздела [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems].
При удалениии файла компьютер не может загрузиться в любом режиме.
Примечание
В случае, если файл уже был удален и загрузка не возможна, загрузитесь с загрузочного диска типа Bart CD и скопируйте имеющийся в папке С:\WINDOWS\system32 файл basesrv.dll в ту же папку под именем удаленного файла.
Отличия [b]Trojan.Win32.SubSys.ce
Дополнительные алиасы[/b]
Agent.STC (AVG)
TR/Inject.GF.22 (AntiVir)
Troj/Agent-GXR (Sophos)
Trojan-PWS.Papras.D (Sunbelt)
Trojan:Win32/Subsys.C (Microsoft)
Trojan.DL.BServ.Gen (VirusBuster)
Trojan.Inject.GF.22 (Webwasher-Gateway)
Trojan.PWS.Papras.D (BitDefender)
Trojan.SubSys.ce (CAT-QuickHeal)
W32/Smalltroj.ECGR (Norman)
W32/SubSys.CE!tr (Fortinet)
Win-Trojan/Subsys.24576.C (AhnLab-V3)
[url]http://www.virustotal.com/ru/analisis/4a2a63bd00aa6745f85b644f5d21d699[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=21064[/url]
[url]http://virusinfo.info/showthread.php?t=21082[/url]
[url]http://virusinfo.info/showthread.php?t=21191[/url]
[url]http://virusinfo.info/showthread.php?t=21672[/url]
[url]http://virusinfo.info/showthread.php?t=22072[/url]
[url]http://virusinfo.info/showthread.php?t=22173[/url]
[url]http://virusinfo.info/showthread.php?t=22765[/url]
-
Trojan-Spy.Win32.Zbot.bbi, Trojan-Spy.Win32.Zbot.bcn и Trojan-Spy.Win32.Zbot.bdg
[b]Алиасы[/b]
Mal/Behav-066 (Sophos)
SHeur.BFFQ (AVG)
TR/Spy.ZBot.bbi (AntiVir)
Trj/Sinowal.DW (Panda)
Trojan.Proxy.3111 (DrWeb)
Trojan.Spy.ZBot.BN (BitDefender)
Trojan/Spy.Zbot.bbi (TheHacker)
TrojanSpy.Zbot.GO (VirusBuster)
W32/Zbot.KA (Norman)
Win32: Zbot-KK (Avast)
Win32/VMalum.CPYF (eTrust-Vet)
[url]http://www.virustotal.com/ru/analisis/1b9b28f4e4fc9509c09759c85817abb1[/url]
[b]Описание[/b]
Троян со свойствами руткита. Отключает файрволы, похищает конфиденциальную финансовую информацию (номера кредитных карт, данные идентификации онлайновых банковских служб), делает снимки экрана, скачивает дополнительные програмные модули и открывает удаленный доступ к зараженной системе для злоумышленника.
Внедряет свой исполняемый код в функционирующие системные процессы.
Связывается с веб-сайтом по адресу: 195.2.253.94
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=21783[/url]
[url]http://virusinfo.info/showthread.php?t=21818[/url]
[url]http://virusinfo.info/showthread.php?t=22003[/url]
[url]http://virusinfo.info/showthread.php?t=22027[/url]
[url]http://virusinfo.info/showthread.php?t=23677[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\ntos.exe
Размер файла случайный. К его телу размером 47104 байт приписывается "мусор" случайного размера.
[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
Отличия [b]Trojan-Spy.Win32.Zbot.bcn
Алиасы[/b]
Mal/EncPk-DI (Sophos)
Pakes.AB (AVG)
TR/Spy.ZBot.bcn (AntiVir)
Trojan.Proxy.2842 (DrWeb)
Trojan.Spy.Wsnpoem.BA (BitDefender)
Trojan.Spy.ZBot.bcn (Webwasher-Gateway)
Trojan.Zbot-655 (ClamAV)
Trojan/Spy.Zbot.bcn (TheHacker)
TrojanSpy.Zbot.bcn (CAT-QuickHeal)
W32/Zbot.KU (Norman)
Win32: Zbot-LM (Avast)
[url]http://www.virustotal.com/ru/analisis/7adcbcaf7276aba2badd0fec8c503023[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=21672[/url]
[url]http://virusinfo.info/showthread.php?t=21931[/url]
[url]http://virusinfo.info/showthread.php?t=21952[/url]
[url]http://virusinfo.info/showthread.php?t=22262[/url]
[url]http://virusinfo.info/showthread.php?t=23141[/url]
[url]http://virusinfo.info/showthread.php?t=23696[/url]
Отличия [b]Trojan-Spy.Win32.Zbot.bdg
Дополнительные алиасы[/b]
Infostealer.Banker.C (Symantec)
PWS:Win32/Zbot.EQ (Microsoft)
Trojan.NTos.Gen!Pac.3 (VirusBuster)
Trojan.Proxy.2003 (DrWeb)
Trojan.Spy.Wsnpoem.BF (BitDefender)
Trojan.Zbot-666 (ClamAV)
Trojan/Spy.Zbot.bdg (TheHacker)
TrojanSpy.Zbot.bdg (CAT-QuickHeal)
W32/Zbot.OI (Norman)
[url]http://www.virustotal.com/ru/analisis/ce172b550865d124f0a653f4b22448a4[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=21811[/url]
[url]http://virusinfo.info/showthread.php?t=22141[/url]
[url]http://virusinfo.info/showthread.php?t=22165[/url]
[url]http://virusinfo.info/showthread.php?t=22900[/url]
[b]Файл на диске[/b]
Размер тела 45056 байт + мусор случайного размера
-
SpamTool.Win32.Agent.is, SpamTool.Win32.Agent.kf и SpamTool.Win32.Agent.ki
[b]Алиасы[/b]
BlockReason.0 (Webwasher-Gateway)
SHeur.BGTB (AVG)
Trojan:Win32/Delfobfus.A (Microsoft)
Trojan.DL.Win32.Agent.bxw (Rising)
Trojan.Spambot.2496 (DrWeb)
Trojan/Agent.is (TheHacker)
[url]http://www.virustotal.com/ru/analisis/d2ba7432c0a731b49647d4771d30e8d4[/url]
[b]Описание[/b]
Рассылает спам.
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=21668[/url]
[url]http://virusinfo.info/showthread.php?t=21931[/url]
[url]http://virusinfo.info/showthread.php?t=21940[/url]
[url]http://virusinfo.info/showthread.php?t=22090[/url]
[url]http://virusinfo.info/showthread.php?t=22308[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\temp\winlogon.exe
39424 байт
[b]Способ запуска[/b]
Ключ реестра HKEY_USERS, HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Run,
Firewall auto setup
Отличия [b]SpamTool.Win32.Agent.kf
Алиасы[/b]
Dropper.BB!tr (Fortinet)
Dropper.Generic.XNM (AVG)
Trojan.DL.Win32.Agent.bxw (Rising)
Trojan.Generic.263079 (BitDefender)
Trojan/Agent.kf (TheHacker)
[url]http://www.virustotal.com/ru/analisis/99f063822c9b170917511eca4a7ef240[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=23113[/url]
[url]http://virusinfo.info/showthread.php?t=23115[/url]
[url]http://virusinfo.info/showthread.php?t=23125[/url]
[url]http://virusinfo.info/showthread.php?t=23158[/url]
[url]http://virusinfo.info/showthread.php?t=23696[/url]
[url]http://virusinfo.info/showthread.php?t=24021[/url]
Отличия [b]SpamTool.Win32.Agent.ki
Дополнительные алиасы[/b]
Dropper.Generic.XQM (AVG)
Trojan.Generic.270334 (BitDefender)
[url]http://www.virustotal.com/ru/analisis/a6d0943686844fe56335c20b52435847[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=23175[/url]
[url]http://virusinfo.info/showthread.php?t=23208[/url]
[url]http://virusinfo.info/showthread.php?t=23241[/url]
-
Trojan-Downloader.Win32.Small.ivo
[b]Алиасы[/b]
Dropper.Agent.HHK (AVG)
Generic9.AUST (Prevx1)
W32/Dropper.LAY (Authentium)
TR/Agent.fwi (AntiVir)
Troj/Drop-M (Sophos)
Trojan.DL.Win32.Small.tqz (Rising)
Trojan.Dropper.Zirit.B (BitDefender)
Trojan.MulDrop.13008 (DrWeb)
Trojan/Downloader.Small.ivo (TheHacker)
TrojanDownloader.Small.ivo (CAT-QuickHeal)
TrojanDropper:Win32/Agent.FYI (Microsoft)
W32/DLoader.GEAG (Norman)
W32/Dropper.LAY (F-Prot)
W32/Small.IVO!tr.dldr (Fortinet)
Win-Trojan/Downloader.10927 (AhnLab-V3)
Win32:Agent-UDD (Avast)
Win32/Pripecs.JK (eTrust-Vet)
Win32/TrojanDropper.Agent.EYA (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/dedc5266963496e7cefc9c87cb379494[/url]
[b]Описание[/b]
Загружается вредоносной программой [b]Trojan-Downloader.Win32.Small.iuq[/b] с сайта [b]void.gribokk.com[/b] и запускается на выполнение.
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=20113[/url]
[url]http://virusinfo.info/showthread.php?t=21555[/url]
[url]http://virusinfo.info/showthread.php?t=21721[/url]
[url]http://virusinfo.info/showthread.php?t=22211[/url]
[url]http://virusinfo.info/showthread.php?t=22531[/url]
[b]Файлы на диске[/b]
exe файл, может иметь различные имена и находится в разных папках, например:
C:\Program Files\tmp31968.exe
C:\Program Files\bho.exe
C:\WINX\Temp\mso13.exe
размер может быть различным, так как в конец файла дописывается "мусор".
[b]Способ запуска[/b]
В автозапуске отсутствует.
-
Worm.Win32.Perlovga.a
[b]Алиасы[/b]
Backdoor.Hupigon.ADI (BitDefender)
Generic.VDT (AVG)
Trojan.Copyself (DrWeb)
Trojan.Small-4214 (ClamAV)
W32/Perlovg-D (Sophos)
W32/Perlovga.A.1 (AntiVir)
W32/Perlovga.A.worm (Panda)
W32/Perlovga.gen (TheHacker)
Win-Trojan/CopySelf.1211 (AhnLab-V3)
Win32.Perlovga.A.1 (Webwasher-Gateway)
Win32.Stration (eSafe)
Worm.Perlovga.A (VirusBuster)
Worm.Small.z (Rising)
[url]http://www.virustotal.com/ru/analisis/7fecf9152dddd1dd9e914abdfab9675e[/url]
[b]Описание[/b]
[url]http://www.viruslist.com/ru/viruses/encyclopedia?virusid=161822[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=20496[/url]
[url]http://virusinfo.info/showthread.php?t=20508[/url]
[url]http://virusinfo.info/showthread.php?t=22099[/url]
[url]http://virusinfo.info/showthread.php?t=22155[/url]
[b]Файлы на диске[/b]
Файл в папке C:\WINDOWS с однимим из имен:
svchost.exe
xcopy.exe
host.exe
copy.exe
Размер 1211 байт.
Копирует себя на сменные накопители под именем [b]copy.exe[/b] вместе с файлом autorun.inf для своего автоматического запуска.
-
Trojan.Win32.Inject.bdf
[b]Алиасы[/b]
BackDoor.IRC.Nite (DrWeb)
Trj/Downloader.TLU (Panda)
Trojan.Crypt.AO (BitDefender)
W32/Smalltroj.EBAV (Norman)
Win32/VMalum.CRSQ (eTrust-Vet)
[url]http://www.virustotal.com/ru/analisis/e523928a87edb68e3bcfcf72d89d6ff4[/url]
[b]Описание[/b]
Внедряет свой код в память функционирующего системного процесса svchost.exe. В списке выполняемых процессов отсутствует.
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=22019[/url]
[url]http://virusinfo.info/showthread.php?t=22054[/url]
[url]http://virusinfo.info/showthread.php?t=22294[/url]
[b]Файлы на диске[/b]
exe файл в папке C:\WINDOWS\system32, имена могут быть разными:
C:\WINDOWS\system32\6to4svce.exe
C:\WINDOWS\system32\2052m.exe
37888 байт
[b]Способ запуска[/b]
Служба. Названия и описания службы могут быть различными, например:
Служба | Описание
CryptSvcMDM | Cryptographic Services CryptSvcMDM
UPSProtectedStorage | Источник бесперебойного питания UPSProtectedStorage
WZCSVCupnphost | Беспроводная настройка WZCSVCupnphost
WmiApSrvLmHosts | WMI Performance Adapter WmiApSrvLmHosts
-
Trojan-Proxy.Win32.Xorpix.ds
[b]Алиасы[/b]
a variant of Win32/TrojanProxy.Xorpix (NOD32v2)
Proxy-Agent.ai (McAfee)
Proxy.AASY (AVG)
Trojan-Proxy.Win32.Xorpix.Fam (Sunbelt)
Trojan.Proxy.3093 (DrWeb)
Trojan.Proxy.Xorpix.BS (BitDefender)
Trojan/Proxy.Xorpix.ds (TheHacker)
TrojanProxy:Win32/Xorpix.gen!E (Microsoft)
TrojanProxy.Xorpix.ds (CAT-QuickHeal)
Win32: Xorpix-AZ (Avast)
Win32.Looked.gen (eSafe)
[url]http://www.virustotal.com/ru/analisis/c10873a3369d60e050899571954cc68d[/url]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=21096[/url]
[url]http://virusinfo.info/showthread.php?t=21195[/url]
[url]http://virusinfo.info/showthread.php?t=21944[/url]
[url]http://virusinfo.info/showthread.php?t=22364[/url]
[b]Файлы на диске[/b]
C:\Documents and Settings\All Users\Документы\Settings\partnership.dll
9235 байт
[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\partnershipreg, DLLName
-
AdTool.Win32.VirtualNetwork.d
[b]Алиасы[/b]
Adware/VirtualNetwork (Fortinet)
Trojan.AdVirtualNetwork (DrWeb)
[url]http://www.virustotal.com/ru/analisis/8611e88af146842b4905b985e498d0fa[/url]
[b]Описание[/b]
Устанавливается вместе с программой [b]Bit Accelerator[/b] c сайта [b]letitbit.net[/b]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=22129[/url]
[url]http://virusinfo.info/showthread.php?t=22221[/url]
[url]http://virusinfo.info/showthread.php?t=22296[/url]
[url]http://virusinfo.info/showthread.php?t=22562[/url]
[url]http://virusinfo.info/showthread.php?t=22838[/url]
[url]http://virusinfo.info/showthread.php?t=22993[/url]
[url]http://virusinfo.info/showthread.php?t=23029[/url]
[b]Файлы на диске[/b]
c:\program files\virtualnetwork\virtualnetwork.dll
185856 байт
[b]Способ запуска[/b]
BHO
Описание: VirtualNetwork Dynamic Link Library
Производитель: GemBirdCom (C) 2008
CLSID: {6C517674-DE1C-4493-977C-34A1BFAB35BA}
-
Trojan-Downloader.Win32.Agent.nsl
[b]Алиасы[/b]
Cutwail.dll (McAfee)
Downloader.Agent.AGEP (AVG)
Trj/Downloader.TOU (Panda)
Troj/Pushu-Gen (Sophos)
Trojan.DL.Wigon.Gen.6 (VirusBuster)
Trojan.Downloader-33943 (ClamAV)
Trojan.DownLoader.59496 (DrWeb)
Trojan.Downloader.Agent.ZIS (BitDefender)
Trojan.Win32.Undef.fwg (Rising)
TrojanDownloader:Win32/Cutwail.S (Microsoft)
TrojanDownloader.Agent.nsl (CAT-QuickHeal)
W32/Pushu.NSL!tr (Fortinet)
Win32:Agent-WPZ (Avast)
Win32/Dallerow.C (eTrust-Vet)
Win32/Wigon (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/3ee4d25791271ec192bf41f4e92d6bab[/url]
[b]Описание[/b]
Защищается драйвером, работающем в режиме ядра со случайным именем из 2-4 букв и двух цифр.
Такой драйвер может детектироваться как [b]Rootkit.Win32.Qandr.s[/b] или иначе.
Когда файл winnt32.dll удаляется драйвер восстанавливает его из файла %windir%\system32\WinData.cab
Запись в реестре также восстанавливается им.
[url]http://www.geocities.jp/kiskzo/winnt32.dll.html[/url] (англ.)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=22075[/url]
[url]http://virusinfo.info/showthread.php?t=22173[/url]
[url]http://virusinfo.info/showthread.php?t=22219[/url]
[url]http://virusinfo.info/showthread.php?t=22489[/url]
[url]http://virusinfo.info/showthread.php?t=22524[/url]
[url]http://virusinfo.info/showthread.php?t=22531[/url]
[url]http://virusinfo.info/showthread.php?t=22537[/url]
[url]http://virusinfo.info/showthread.php?t=22669[/url]
[url]http://virusinfo.info/showthread.php?t=23231[/url]
[url]http://virusinfo.info/showthread.php?t=23281[/url]
[url]http://virusinfo.info/showthread.php?t=23458[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\WinNt32.dll
10240 байт
[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinNt32, DLLName
WinNt32.dll
