Актуальные зловреды

Printable View

Показывать 40 сообщений этой темы на одной странице

16.02.2008, 18:14
AndreyKa

Trojan-Proxy.Win32.Agent.xo

[b]Алиасы[/b]
Agent.NHU (AVG)
Backdoor:WinNT/Nuwar.D!sys (Microsoft)
Proxy.Agent.xo (Ewido)
TR/Proxy.Agent.XO (AntiVir)
Trj/Spammer.AFM (Panda)
Troj/Tibs-TX (Sophos)
Trojan.Peed.IUO (BitDefender)
Trojan.Proxy-2401 (ClamAV)
Trojan.Spambot.2887 (DrWeb)
Trojan.Win32.Undef.cft (Rising)
Trojan/Proxy.Agent.xo (TheHacker)
TrojanProxy.Agent.xo (CAT-QuickHeal)
W32/Agent.XO!tr (Fortinet)
W32/Tibs.BIGD (Norman)
Win32/TrojanProxy.Agent.XH (NOD32v2)

[b]Описание[/b]
Работает в паре с вредоносным файлом taskmon.exe
Отключает антивирусы.

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17587[/url]
[url]http://virusinfo.info/showthread.php?t=17830[/url]
[url]http://virusinfo.info/showthread.php?t=18026[/url]
[url]http://virusinfo.info/showthread.php?t=19417[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\taskmon.sys
18368 байт

[b]Способ запуска[/b]
Драйвер: taskmon.sys
16.02.2008, 19:34
AndreyKa

Trojan.Win32.Agent.asu

[b]Алиасы[/b]
Generic5.NVS (AVG)
Hacktool.Rootkit (Symantec)
NTRootKit-J (McAfee)
Rootkit/Agysteo.Q (Panda)
TR/Agent.asu.1 (AntiVir)
Troj/NtRootK-CA (Sophos)
Trojan.Agent-7047 (ClamAV)
Trojan.Agent.ABGK (BitDefender)
Trojan.Agent.asu (Ewido)
Trojan.NtRootKit.312 (DrWeb)
TROJAN.ROOTKIT.L (Prevx1)
Trojan.Win32.Agent.tsn (Rising)
Trojan/Agent.asu (TheHacker)
VirTool:WinNT/Smallrk.F (Microsoft)
W32/Agent.ASU!tr (Fortinet)
W32/Agent.BXAD (Norman)
W32/Trojan.BKOF (F-Prot)
Win-Trojan/Rootkit.7923 (AhnLab-V3)
Win32:Agent-KDC (Avast)
Win32.Agent.asu (eSafe)
Win32/Fledib.A (eTrust-Vet)
Win32/Rootkit.Agent.NCR (NOD32v2)

[b]Описание[/b]
Функционирует как модуль пространства ядра.
Перехватывает Функции ядра. Используется другими вредоносными программами для сокрытия своего присутствия в системе.

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16768[/url]
[url]http://virusinfo.info/showthread.php?t=17755[/url]
[url]http://virusinfo.info/showthread.php?t=18009[/url]
[url]http://virusinfo.info/showthread.php?t=19212[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\DefLib.sys
7923 байт.
16.02.2008, 21:22
AndreyKa

Trojan-Downloader.Win32.Winlagons.a

[b]Алиасы[/b]
a variant of Win32/TrojanDownloader.Tiny.NJ (NOD32v2)
Downloader.Generic6.AIIC (AVG)
Trj/Downloader.SOQ (Panda)
Trojan-Downloader.Small.AAJM (Sunbelt)
Trojan.DownLoader.47222 (DrWeb)
Trojan.Downloader.Small.AAJM (BitDefender)
Trojan/Downloader.Small.gen (TheHacker)
TrojanDownloader:Win32/Tipikit.B (Microsoft)
TrojanDownloader.Winlagons.a (CAT-QuickHeal)
Win-Trojan/Downloader.6144.ND (AhnLab-V3)

[b]Описание[/b]
При запуске создает и запускает службу "Google Online Search Service" для копии своего файла.
Прописывает также службу в ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 для предотвращения своего удаления выбором последней удачной конфигурации при запуске Windows.
Скачивает с домена bulletproofstuff.com файл с ссылками на вредоносные файлы. На данный момент по этим ссылкам (сайты 58.65.239.42 и 0ci.ru) находятся:
Trojan-Proxy.Win32.Xorpix.cu
Trojan-Proxy.Win32.Saturn.al
Trojan-Downloader.Win32.Small.cib
Email-Worm.Win32.Zhelatin.vg
Trojan.Win32.Small.afy
Trojan-Downloader.Win32.Agent.jea
AdWare.Win32.BHO.aaw

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17998[/url]
[url]http://virusinfo.info/showthread.php?t=17999[/url]
[url]http://virusinfo.info/showthread.php?t=18014[/url]

[b]Файлы на диске[/b]
%UserProfile%\ie_updates3r.exe
c:\windows\system32\winlagons.exe
6144 байт

[b]Способ запуска[/b]
Служба: Google Online Search Service
Описание: Google Online Search Service
C:\WINDOWS\system32\winlagons.exe
16.02.2008, 22:04
AndreyKa

Trojan.Win32.Agent.eub

[b]Алиасы[/b]
Downloader.Generic_c.ML (AVG)
TR/Agent.eub.1 (AntiVir)
Trj/Agent.IAB (Panda)
Troj/Agent-GPK (Sophos)
Trojan.Agent.AGVF (BitDefender)
Trojan.Agent.eub.1 (Webwasher-Gateway)
Trojan.DL.Wigon.Gen.6 (VirusBuster)
Trojan.DoS.Win32.Opdos (Prevx1)
Trojan.DownLoader.46414 (DrWeb)
Trojan/Agent.eub (TheHacker)
W32/Agent.EGFQ (Norman)
W32/Agent.EUB!tr (Fortinet)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17853[/url]
[url]http://virusinfo.info/showthread.php?t=17882[/url]
[url]http://virusinfo.info/showthread.php?t=18014[/url]
[url]http://virusinfo.info/showthread.php?t=18064[/url]
[url]http://virusinfo.info/showthread.php?t=18174[/url]
[url]http://virusinfo.info/showthread.php?t=18832[/url]
[url]http://virusinfo.info/showthread.php?t=19295[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\LogCrypt.dll
8704 байт

[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\LogCrypt,
DLLName LogCrypt.dll
17.02.2008, 11:46
AndreyKa

Trojan.Win32.Agent.fdn, Trojan-Dropper.Win32.Agent.elj и Trojan.Win32.Buzus.lj

[b]Алиасы[/b]
TR/Agent.fdn (AntiVir)
Trojan.Agent.fdn (CAT-QuickHeal)
Trojan.Small-5027 (ClamAV)
Trojan.Spambot.2384 (DrWeb)
W32/Agent.FDN!tr (Fortinet)
Win32/TrojanProxy.Small.NAR (NOD32v2)
[b]Дополнительные алиасы для Trojan-Dropper.Win32.Agent.elj[/b]
TR/Drop.Agent.elj (AntiVir)
Trojan.Drop.Agent.elj (Webwasher-Gateway)
Trojan.Dropper.Rootkit.NBR (BitDefender)
Trojan/Dropper.Agent.elj (TheHacker)
TrojanDropper.Agent.elj (CAT-QuickHeal)
W32/Agent.ELJ!tr (Fortinet)
[b]Дополнительные алиасы для Trojan.Win32.Buzus.lj[/b]
LdPinch.STT (Norman)
Trojan.Agent-11935 (ClamAV)
Trojan.Agent.dvf (CAT-QuickHeal)
Trojan.DL.Win32.Agent.bxw (Rising)
Trojan.Packed.147 (DrWeb)
Trojan.PSW.LdPinch.AKX (BitDefender)
Trojan.Win32.Agent.dvf (VBA32)
Trojan/Agent.dvf (TheHacker)
W32/Agent.DVF!tr (Fortinet)
Win-Trojan/Buzus.42496 (AhnLab-V3)

[b]Описание[/b]
Имеет возможности отправки email по протоколу SMTP.
Внедряет програмный код в процесс explorer.exe
Устанавливает в систему вредоносный драйвер режима ядра (Trojan.Win32.Agent.asu)

[b]Trojan.Win32.Agent.fdn встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17817[/url]
[url]http://virusinfo.info/showthread.php?t=17865[/url]
[url]http://virusinfo.info/showthread.php?t=18034[/url]
[b]Trojan-Dropper.Win32.Agent.elj:[/b]
[url]http://virusinfo.info/showthread.php?t=17998[/url]
[url]http://virusinfo.info/showthread.php?t=18014[/url]
[url]http://virusinfo.info/showthread.php?t=18074[/url]
[b]Trojan.Win32.Buzus.lj:[/b]
[url]http://virusinfo.info/showthread.php?t=16358[/url]
[url]http://virusinfo.info/showthread.php?t=17164[/url]
[url]http://virusinfo.info/showthread.php?t=18172[/url]

[b]Trojan-Proxy.Win32.Agent.xp:[/b]
[b]Алиасы[/b]
Backdoor.Win32.Small.lu (Sunbelt)
Generic9.AULI (AVG)
NTRootKit-J (McAfee)
Proxy.Agent.xp (Ewido)
Trojan.Packed.147 (DrWeb)
Trojan.Proxy-2376 (ClamAV)
Trojan/Proxy.Agent.xp (TheHacker)
TrojanProxy.Agent.xp (CAT-QuickHeal)
Virus:Win32/Grum.E (Microsoft)
W32/Agent.ECZC (Norman)
Win-Trojan/OnlineGameHack.35840.E (AhnLab-V3)
Win32:Agent-SMZ (Avast)
Win32.Agent.xp (eSafe)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17220[/url]
[url]http://virusinfo.info/showthread.php?t=17315[/url]
[url]http://virusinfo.info/showthread.php?t=18694[/url]

[b]Файлы на диске[/b]
%UserProfile%\Local Settings\Temp\winlogon.exe
39424 байт или 42496 байт для Trojan.Win32.Buzus.lj
Может распологатся в другом месте, там куда указывает переменная %Temp%
Создает файл:
C:\Windows\System32\DefLib.sys - детектируется как Trojan.Win32.Agent.asu

[b]Способ запуска[/b]
Ключ реестра HKEY_CURRENT_USER,
Software\Microsoft\Windows\CurrentVersion\Run,
Firewall auto setup
17.02.2008, 14:05
AndreyKa

Worm.Win32.AutoRun.cmc, Trojan-PSW.Win32.OnLineGames.rbj и Worm.Win32.AutoRun.cpq

[b]Алиасы[/b]
PWS-LegMir.gen.k (McAfee)
PWS:Win32/OnLineGames.CSE (Microsoft)
Trojan.Autorun-193 (ClamAV)
Trojan.MulDrop.6474 (DrWeb)
W32/AutoRun.BPK (Norman)
W32/AutoRun.cmc (TheHacker)
W32/Lineage.HLY.worm (Panda)
Win32/Frethog.AKM (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)

[b]Описание[/b]
Червь распространяющийся копированием самого себя на сменные носители. Похищает пароли к различным интернет-играм.

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17164[/url]
[url]http://virusinfo.info/showthread.php?t=17920[/url]
[url]http://virusinfo.info/showthread.php?t=18057[/url]
[url]http://virusinfo.info/showthread.php?t=18081[/url]
[url]http://virusinfo.info/showthread.php?t=19149[/url]

[b]Файлы на диске[/b]
C:\0hct8ybw.bat
C:\autorun.inf
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
C:\WINDOWS\system32\amvo.exe
%Temp%\i2ir.dll
autorun.inf и 0hct8ybw.bat - на всех дисках в корневой папке

[b]Способ запуска[/b]
1. Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.

Отличия [b]Trojan-PSW.Win32.OnLineGames.rbj[/b]
[b]Дополнительные алиасы для Trojan-PSW.Win32.OnLineGames.rbj[/b]
Trj/Lineage.HMG (Panda)
Trojan/PSW.OnLineGames.rbj (TheHacker)
VirTool:Win32/Obfuscator.T (Microsoft)
W32/NSAnti.GJA (Norman)
Win32/Frethog.AKR (eTrust-Vet)
[b]amvo0.dll[/b]
Trojan.PWS.Wsgame.2387 (DrWeb)
TrojanPSW.OnLineGames.rbj (CAT-QuickHeal)
W32.Gammima.AG (Symantec)
W32/OnLineGames.AKLI (Norman)
Win32/PSW.OnLineGames.NLK (NOD32v2)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18057[/url]
[url]http://virusinfo.info/showthread.php?t=18102[/url]
[url]http://virusinfo.info/showthread.php?t=18157[/url]

[b]Файлы на диске[/b]
C:\x.com
%Temp%\dsr8q.dll
autorun.inf детектируется как Worm.Win32.AutoRun.cnw

Отличия [b]Trojan-PSW.Win32.OnLineGames.rbj
Дополнительные алиасы для Worm.Win32.AutoRun.cpq[/b]
Mal/EncPk-CE (Sophos)
Trojan.Lineage.Gen!Pac.3 (VirusBuster)
Trojan.PSW.Win32.GamesOnline.nm (Rising)
W32/NSAnti.GNC (Norman)
Worm/Generic.FYT (AVG)
[b]amvo0.dll[/b]
Trojan.PWS.Wsgame.3434 (DrWeb)
W32/NSAnti.GNE (Norman)
Win32/PSW.OnLineGames.NMP (NOD32v2)

Встречен в темах
[url]http://virusinfo.info/showthread.php?t=15961[/url]
[url]http://virusinfo.info/showthread.php?t=18321[/url]
[url]http://virusinfo.info/showthread.php?t=18438[/url]

Файлы на диске
C:\gumkrhf.bat
%Temp%\l4rq2a7.dll

[b]Trojan-PSW.Win32.OnLineGames.rmm[/b]
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18321[/url]
[url]http://virusinfo.info/showthread.php?t=18384[/url]
[url]http://virusinfo.info/showthread.php?t=18449[/url]

[b]Файлы на диске[/b]
C:\oufddh.exe

[b]Trojan-PSW.Win32.OnLineGames.qip
Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17382[/url]
[url]http://virusinfo.info/showthread.php?t=17455[/url]
[url]http://virusinfo.info/showthread.php?t=18439[/url]

[b]Файлы на диске[/b]
C:\h.cmd

[b]Trojan-PSW.Win32.OnLineGames.rpy
Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18504[/url]
[url]http://virusinfo.info/showthread.php?t=18514[/url]
[url]http://virusinfo.info/showthread.php?t=18516[/url]
[url]http://virusinfo.info/showthread.php?t=18646[/url]

[b]Файлы на диске[/b]
C:\oufddh.exe
20.02.2008, 17:01
AndreyKa

Trojan-Downloader.Win32.Small.ilt

[b]Алиасы[/b]
Backdoor.SDBot.DFCV (BitDefender)
Lop.BG (Prevx1)
Trojan.DownLoader.38518 (DrWeb)
TrojanDownloader.Small.ilt (CAT-QuickHeal)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18156[/url]
[url]http://virusinfo.info/showthread.php?t=18234[/url]
[url]http://virusinfo.info/showthread.php?t=18294[/url]
[url]http://virusinfo.info/showthread.php?t=18445[/url]
[url]http://virusinfo.info/showthread.php?t=18473[/url]
[url]http://virusinfo.info/showthread.php?t=19174[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\sysfldr.dll
14336 байт

[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sysfldr, DLLName
sysfldr.dll
23.02.2008, 22:17
AndreyKa

Trojan-Downloader.Win32.Agent.jgt

[b]Алиасы[/b]
Bck/Spambot.G (Panda)
Generic9.AZND (AVG)
TR/Dldr.Agent.jgt (AntiVir)
Trojan.Agent.6144.156 (Webwasher-Gateway)
Trojan.DownLoader.38520 (DrWeb)
Trojan/Downloader.Agent.jgt (TheHacker)
TrojanDownloader.Agent.jgt (CAT-QuickHeal)
W32/Malware.CCAM (Norman)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18262[/url]
[url]http://virusinfo.info/showthread.php?t=18343[/url]
[url]http://virusinfo.info/showthread.php?t=18483[/url]
[url]http://virusinfo.info/showthread.php?t=19545[/url]

[b]Файлы на диске[/b]
exe файл в временной папке, имя начинается с [b]win[/b] и заканчивается несколькими случайными латинскими буквами. Например:
C:\DOCUME~1\user\LOCALS~1\Temp\wineuje.exe

[b]Способ запуска[/b]
Ключ реестра HKEY_CURRENT_USER,
Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell
"Explorer.exe "C:\DOCUME~1\user\LOCALS~1\Temp\win????.exe""
24.02.2008, 06:15
AndreyKa

Trojan-Downloader.Win32.Diehard.dr

[b]Алиасы[/b]
BackDoor.Generic9.EFP (AVG)
Rkit/Agent.DQ.31.A (AntiVir)
Rootkit.Agent.DQ.31.A (Webwasher-Gateway)
Rootkit.Agent.DQ.A (Sunbelt)
Rootkit.Agent.pr (Ewido)
Rootkit.Pandex.Gen.2 (VirusBuster)
Rootkit.Win32.Agent.pr (VBA32)
Rootkit/Agent.HML (Panda)
Troj/Agent-GIS (Sophos)
Trojan.Kobcka.BE (BitDefender)
Trojan.NtRootKit.497 (DrWeb)
Trojan.Pandex (Symantec)
Trojan.Rootkit-286 (ClamAV)
Trojan.Win32.Undef.cz (Rising)
Trojan/Agent.pr (TheHacker)
VirTool:WinNT/Cutwail.C (Microsoft)
W32/Pushu.PR!tr (Fortinet)
W32/Smalltroj.CDMZ (Norman)
Win-Trojan/Rootkit.7680.F (AhnLab-V3)
Win32:Agent-NJB (Avast)
Win32/Cutwail!generic (eTrust-Vet)
Win32/Rootkit.Agent.DP (NOD32v2)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16089[/url]
[url]http://virusinfo.info/showthread.php?t=17685[/url]
[url]http://virusinfo.info/showthread.php?t=17707[/url]
[url]http://virusinfo.info/showthread.php?t=18506[/url]
[url]http://virusinfo.info/showthread.php?t=18694[/url]
[url]http://virusinfo.info/showthread.php?t=18937[/url]
[url]http://virusinfo.info/showthread.php?t=19580[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
29056 байт
Файл трояна заменяет собой существующий системный файл.

[b]Способ запуска[/b]
Драйвер.
Описание: Драйвер брандмауэра Windows для IPv6
C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
25.02.2008, 20:36
AndreyKa

Rootkit.Win32.Agent.vn

[b]Алиасы[/b]
BackDoor.Generic9.OBZ (AVG)
Generic.dx (McAfee)
Infostealer.Ldpinch.C (Symantec)
Rkit/Agent.VN (AntiVir)
Rootkit.Agent.vn (Ewido)
Trojan.NtRootKit.815 (DrWeb)
Trojan/Agent.vn (TheHacker)
VirTool:WinNT/Chksyn.A (Microsoft)
W32/Agent.VN!tr.rkit (Fortinet)
W32/Rootkit.CQB (Norman)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17885[/url]
[url]http://virusinfo.info/showthread.php?t=18538[/url]
[url]http://virusinfo.info/showthread.php?t=18609[/url]

[b]Файлы на диске[/b]
C:\Program Files\Common Files\System\winmgt32k.dll
и
C:\Program Files\Common Files\System\sysvideo32.dll
2816 байт

[b]Способ запуска[/b]
Драйвер с именем как у файла: winmgt32k или sysvideo32
Функционирует как модуль пространства ядра.

[b]Примечание[/b]
Детектируется AVZ, но при сканировании со стандартными настройками не удаляется:
[quote]
3. Сканирование дисков
C:\Program Files\Common Files\System\sysvideo32.dll >>>>> Rootkit.Win32.Agent.vn удаление запрещено настройкой
[/quote]
26.02.2008, 22:35
Зайцев Олег

[quote=AndreyKa;192508]
[B]Trojan-Downloader.Win32.Diehard.dr[/B]
....
[B]Файлы на диске[/B]
C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
29056 байт
Файл трояна заменяет собой существующий системный файл.

[B]Способ запуска[/B]
Драйвер.
Описание: Драйвер брандмауэра Windows для IPv6
C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys[/quote]
Данные из моей базы: такой подменненный файл может также детектироваться как Rootkit.Win32.Agent.pr, Rootkit.Win32.Agent.dp, Trojan-Downloader.Win32.Agent.acl.
01.03.2008, 13:16
AndreyKa

Trojan-Spy.Win32.Goldun.wp и Rootkit.Win32.Agent.abc

[b]Описание[/b]
Ворует логины и пароли.
Trojan-Spy.Win32.Goldun.wp содержит список доменов с антивирусных компаний (видимо для блокирования обновлений антивирусов).
Rootkit.Win32.Agent.abc содержит строку avz.exe, то есть пытается противодействовать лечению с помощью этой утилиты.

[b]Встречены в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18297[/url]
[url]http://virusinfo.info/showthread.php?t=18340[/url]
[url]http://virusinfo.info/showthread.php?t=18672[/url]

[b]Алиасы Trojan-Spy.Win32.Goldun.wp[/b]
Generic.Malware.SFYdlwdld.08A1552D (BitDefender)
Generic9.BCLQ (AVG)
Logger.Goldun.wp (Ewido)
TR/Agent.22441 (AntiVir)
Trj/ProxyServer.BA (Panda)
Trojan.Agent.22441 (Webwasher-Gateway)
Trojan.PWS.GoldSpy (DrWeb)
Trojan/Spy.Goldun.wp (TheHacker)
TrojanSpy:Win32/Goldun.gen!dll (Microsoft)
TrojanSpy.Goldun.wp (CAT-QuickHeal)
Win-Trojan/Goldun.22441 (AhnLab-V3)
Win32/Spy.Goldun.WP (NOD32v2)

[b]Файлы на диске[/b]
C:\WINDOWS\system32\alcomt.dll
22441 байт

[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\alcomt, DLLName

[b]Алиасы Rootkit.Win32.Agent.abc[/b]
BackDoor.Generic9.UNZ (AVG)
Rootkit.Agent.abc (CAT-QuickHeal)
Trj/ProxyServer.BA (Panda)
Trojan/Agent.abc (TheHacker)
VirTool:WinNT/HideDrv.gen!A (Microsoft)
W32/Goldun.gen3 (F-Prot)
W32/Rootkit.DJX (Norman)
Win32/Spy.Goldun.WP (NOD32v2)

[b]Файлы на диске[/b]
C:\WINDOWS\system32\alcom.sys
8416 байт

[b]Способ запуска[/b]
Драйвер: alcom
Описание: ALcom server
C:\WINDOWS\system32\alcom.sys

[b]Внешние проявления [/b](со слов пользователей)
В нормальном режиме антивирусы не запускаются.
В нормальном режиме не виден сам avz.exe.
01.03.2008, 15:17
AndreyKa

Trojan.Win32.Pakes.cdw

[b]Алиасы[/b]
BZub.ARU (Norman)
Downloader.Delf.12.AK (AVG)
TR/BHO.agz.9 (AntiVir)
Trj/Downloader.RKS (Panda)
Troj/BHO-EL (Sophos)
Trojan-Spy.Bzub.NGP (Sunbelt)
Trojan:Win32/Boaxxe.C (Microsoft)
Trojan.BHO-1189 (ClamAV)
Trojan.BHO.agz (Ewido)
Trojan.DownLoader.38058 (DrWeb)
Trojan.Spy.Bzub.NGP (BitDefender)
Trojan/BHO.agz (TheHacker)
W32/BHO.AGZ!tr (Fortinet)
Win32: Pakes-AKM (Avast)
Win32/BHO.AGZ (NOD32v2)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18332[/url]
[url]http://virusinfo.info/showthread.php?t=18438[/url]
[url]http://virusinfo.info/showthread.php?t=18773[/url]
[url]http://virusinfo.info/showthread.php?t=19073[/url]
[url]http://virusinfo.info/showthread.php?t=19298[/url]

[b]Файлы на диске[/b]
dll файл в системной папке с различными именами, например:
c:\windows\system32\iassvc.dll
c:\windows\system32\adsld.dll
C:\WINDOWS\system32\asycfil.dll
C:\WINDOWS\system32\appmg.dll

[b]Способ запуска[/b]
BHO, CLSID случайный.
01.03.2008, 20:36
AndreyKa

Backdoor.Win32.Agent.eqw и Rootkit.Win32.Agent.abo

[b]Алиасы[/b]
Backdoor.Agent.eqw (CAT-QuickHeal)
BackDoor.Agent.QTQ (AVG)
Generic BackDoor.t (McAfee)
Generic.Malware.SFYdlwdld.800CFBB7 (BitDefender)
TR/Agent.22447 (AntiVir)
Trojan.PWS.GoldSpy (DrWeb)
W32/Agent.EIZE (Norman)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18530[/url]
[url]http://virusinfo.info/showthread.php?t=18779[/url]
[url]http://virusinfo.info/showthread.php?t=18867[/url]
[url]http://virusinfo.info/showthread.php?t=19022[/url]
[url]http://virusinfo.info/showthread.php?t=19407[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\mplink.dll
22447 байт
Создает папку install_temp_318
Устанавливает в систему драйвер fprot.sys - [b]Rootkit.Win32.Agent.abo[/b]

[b]Способ запуска[/b]
1. Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mplink, DLLName
mplink.dll
2. Драйвер fprot
C:\WINDOWS\system32\fprot.sys
Описание: FT StarForce Protector

[b]Внешние проявления [/b](со слов пользователей)
Когда запускаешь любой .EXE или .RAR файл создается папка install_temp_318 в этой дериктории откуда запускается файл.
При распаковке AVZ, в папке куда распаковывал в норм режиме нету exe файла, в безопасном есть.
01.03.2008, 23:25
AndreyKa

Virus.Win32.Sality.s

[b]Алиасы[/b]
Email-Worm.Win32.Warezov.et (Sunbelt)
I-Worm.Warezov.et (CAT-QuickHeal)
I-Worm/Stration.BOC (AVG)
W32.HLLP.Sality (Symantec)
W32/Sality-AD (Sophos)
W32/Sality.AF (F-Prot)
W32/Sality.dll (McAfee)
W32/Sality.Y (Panda)
W32/Saltiy.S (AntiVir)
W32/Stration.EFZ (Norman)
W32/Stration.ET@mm (Fortinet)
W32/Warezov.et (TheHacker)
Win-Trojan/Sality.40960 (AhnLab-V3)
Win32:KillAV-CP (Avast)
Win32.Sality.m (Rising)
Win32.Sector.28682 (DrWeb)
Win32.Warezov.ET@mm (BitDefender)
Win32/Sality.NAM (NOD32v2)
Win32/Sality.S (eTrust-Vet)
Worm:Win32/Sality.T.dll (Microsoft)
Worm.Stration.XR-1 (ClamAV)
Worm.Warezov.et (Ewido)
[b]Дополнительные алиасы драйвера[/b]
Generic3.KXG (AVG)
TR/Drop.Warezov.A.1 (AntiVir)
Trojan.Ipsof (DrWeb)
Trojan/Sality.s (TheHacker)
VirTool:Win32/Rootkit.C (Microsoft)
W32/Rootkit.D!tr (Fortinet)
W32/Sality.W (Norman)
W32/Sality.X.drp (Panda)
Win-Trojan/Sality.5477 (AhnLab-V3)
Win32.Warezov.96 (BitDefender)
Worm.Sality.s (CAT-QuickHeal)

[b]Описание[/b]
Файловый вирус заражет файлы с расширениями .EXE и .SCR. Записывает нажимаемые пользователем клавиши. Затем отправляет эти записи по электронной почте.

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17573[/url]
[url]http://virusinfo.info/showthread.php?t=18343[/url]
[url]http://virusinfo.info/showthread.php?t=18854[/url]
[url]http://virusinfo.info/showthread.php?t=19369[/url]
[url]http://virusinfo.info/showthread.php?t=19545[/url]

[b]Файлы на диске[/b]
Заражает выполняемые файлы. Кроме этого создает свои:
c:\windows\system32\wmdrtc32.dll
40960 байт
C:\WINDOWS\system32\drivers\_случайное_имя_.sys
5477 байт

[b]Способ запуска[/b]
1. Через зараженный файл.
2. Драйвер: NdisFileServices32
Описание: NdisFileServices32
C:\WINDOWS\system32\drivers\_случайное_имя_.sys

[b]Внешние проявления [/b](со слов пользователей)
Нарушается работа антивирусных програм, их файлы удаляются. Доступ к сайтам антивирусных компаний заблокирован.
02.03.2008, 19:28
AndreyKa

Hoax.Win32.Renos.awn

[b]Алиасы[/b]
Generic9.BELN (AVG)
Hoax.Renos.awn (CAT-QuickHeal)
Troj/Agent-GQQ (Sophos)
Trojan.Fakealert.438 (DrWeb)
Trojan.FakeAlert.PZ (BitDefender)
Win32/Adware.SpyKillerPro (NOD32v2)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18791[/url]
[url]http://virusinfo.info/showthread.php?t=18899[/url]
[url]http://virusinfo.info/showthread.php?t=18949[/url]
[url]http://virusinfo.info/showthread.php?t=18950[/url]
[url]http://virusinfo.info/showthread.php?t=19121[/url]

[b]Файлы на диске[/b]
%Temp%\~~install.dll
13312 байт

[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler,
CLSID: {24E31EA9-FCE2-404F-BD80-20543565D946}

[b]Внешние проявления [/b](со слов пользователей)
Сообщения о том, что компьютер заражен Trojan.SpyAgent.Da
02.03.2008, 22:01
AndreyKa

Trojan.Win32.Zapchast.dt

[b]Алиасы[/b]
Generic9.APXO (AVG)
TR/Zapchast.DT.1 (AntiVir)
Trj/ZapChast.DO (Panda)
Trojan.Starter.341 (DrWeb)
Trojan.Zachpast-37 (ClamAV)
Trojan/Zapchast.dt (TheHacker)
W32/Zapchast.BEC (Norman)
W32/Zapchast.DT!tr (Fortinet)
W32/Zapchast.K (F-Prot)
Win-Trojan/Zapchast.7168.C (AhnLab-V3)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17710[/url]
[url]http://virusinfo.info/showthread.php?t=18194[/url]
[url]http://virusinfo.info/showthread.php?t=18962[/url]
[url]http://virusinfo.info/showthread.php?t=19004[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\System32\windows
файл с именем без расширения 7168 байт

[b]Способ запуска[/b]
Служба: MSControlService
Описание: Microsoft cache control
Файл: C:\WINDOWS\System32\windows
02.03.2008, 22:38
AndreyKa

Trojan-Downloader.Win32.Agent.kep

[b]Алиасы[/b]
Trojan.DownLoader.49451 (DrWeb)
TrojanDropper:Win32/Cutwail.Y (Microsoft)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18937[/url]
[url]http://virusinfo.info/showthread.php?t=18982[/url]
[url]http://virusinfo.info/showthread.php?t=18986[/url]
[url]http://virusinfo.info/showthread.php?t=19023[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\WLCtrl32.dll
11776 байт

[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32, DLLName
WLCtrl32.dll
02.03.2008, 23:17
AndreyKa

Rootkit.Win32.Agent.px

[b]Алиасы[/b]
BackDoor.Generic9.FHC (AVG)
Rootkit.Agent.px (Ewido)
Troj/RKAgen-Fam (Sophos)
Trojan:Win32/Srizbi.gen (Microsoft)
Trojan.Rootkit-264 (ClamAV)
Trojan.Sentinel (DrWeb)
Trojan.Srizbi (Symantec)
Trojan/Agent.px (TheHacker)
W32/RKAgen.PX!tr.rkit (Fortinet)
W32/Rootkit.AVX (Norman)
Win-Trojan/RootKit.185344 (AhnLab-V3)
Win32:Srizbi (Avast)
Win32/Rootkit.Agent.HU (NOD32v2)

[b]Описание[/b]
Функционирует как драйвер пространства ядра.
Запускается и в безопасном режиме. Успешно маскируется от AVZ - отсутствует в списке установленных драйверов.

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16257[/url]
[url]http://virusinfo.info/showthread.php?t=17455[/url]
[url]http://virusinfo.info/showthread.php?t=18940[/url]
[url]http://virusinfo.info/showthread.php?t=18999[/url]

[b]Файлы на диске[/b]
Файл с расширением sys и случайным именем из 3-4х латинских букв и двух цифр в папке c:\windows\system32\drivers
Например: c:\windows\system32\drivers\Cprk72.sys
185344 байт

[b]Способ запуска[/b]
Драйвер.

[b]Внешние проявления [/b](со слов пользователей)
При подключении к сети через пару минут начинает быстро уходить трафик, в обе стороны, но от меня раза в 2-3 больше.
04.03.2008, 23:03
AndreyKa

Rootkit.Win32.Agent.pq

[b]Алиасы[/b]
BackDoor.Generic9.EAP (AVG)
Rootkit.Agent.pq (Ewido)
Rootkit.Win32.Agent. (eSafe)
Spy-Agent.bv.sys (McAfee)
Troj/RKRun-Gen (Sophos)
Trojan:WinNT/Cutwail.A!sys (Microsoft)
Trojan.Kobcka.AY (BitDefender)
Trojan.NtRootKit.496 (DrWeb)
Trojan.Pandex (Symantec)
Trojan.Rootkit-256 (ClamAV)
Trojan/Agent.pn (TheHacker)
W32/Agent.PN!tr.rkit (Fortinet)
W32/Rootkit.AIO (F-Prot)
Win32:Small-EPJ (Avast)
Win32/Rootkit.Agent.EY (NOD32v2)

[b]Описание[/b]
Функционирует как модуль пространства ядра.
Встречается вместе с трояном C:\WINDOWS\Temp\startdrv.exe

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16270[/url]
[url]http://virusinfo.info/showthread.php?t=18506[/url]
[url]http://virusinfo.info/showthread.php?t=18706[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\drivers\runtime2.sys
C:\WINDOWS\system32\drivers\ctl_w32.sys

[b]Способ запуска[/b]
Драйвер: runtime2
C:\WINDOWS\system32\drivers\runtime2.sys
драйвер ctl_w32.sys среди установленных не замечен.

Показывать 40 сообщений этой темы на одной странице