Актуальные зловреды

[b]Алиасы[/b]
SHeur.BAQW (AVG)
Trojan.Spambot.3092 (DrWeb)
W32/Socks.af (TheHacker)
W32/Socks.E.worm (Panda)
Win32:Socks-AE (Avast)
Worm.Socks.af (Ewido)
[url]http://www.virustotal.com/ru/analisis/8140e22c1a72e86ac1ddb9f107f9561a[/url]

[b]Описание[/b]
Распространяется по локальной сети.
При запуске создает файл со случайным именем и расширением [b]syz[/b] в системной папке. Этот файл является [b]Rootkit.Win32.Agent.agi[/b] (Trojan.NtRootKit.1019).

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=20603[/url]
[url]http://virusinfo.info/showthread.php?t=21684[/url]
[url]http://virusinfo.info/showthread.php?t=21846[/url]
[url]http://virusinfo.info/showthread.php?t=22535[/url]
[url]http://virusinfo.info/showthread.php?t=22704[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\cssrss.exe
29696 байт

[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, WMDM PMSP Service

[b]Алиасы[/b]
Adware/GoodSearchNow (Panda)
Cutwail (McAfee)
SpamBot.G (AVG)
SpamTool.Agent.jn (Not a Virus) (CAT-QuickHeal)
TR/Kobcka.DS (AntiVir)
Trojan.Kobcka.DS (BitDefender)
Trojan.NtRootKit.1070 (DrWeb)
VirTool:WinNT/Cutwail.gen!C (Microsoft)
W32/Dloader.AMT!tr (Fortinet)
W32/Pandex.AI (Norman)
Win32/Cutwail.GH (eTrust-Vet)
[url]http://www.virustotal.com/ru/analisis/18fa1cb67798b1dcd51928d1beee7505[/url]

[b]Описание[/b]
Функционирует как модуль пространства ядра.

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=22782[/url]
[url]http://virusinfo.info/showthread.php?t=22832[/url]
[url]http://virusinfo.info/showthread.php?t=22874[/url]
[url]http://virusinfo.info/showthread.php?t=22901[/url]
[url]http://virusinfo.info/showthread.php?t=23231[/url]
[url]http://virusinfo.info/showthread.php?t=23496[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\System32\drivers\tcpsr.sys
6400 байт
Устанавливается вместе со следущими файлами:
%System%\drivers\{случайные 3 буквы и 2 цифры}.sys - RootKit...
%System%\WinData.cab - Trojan-Downloader.Win32.Mutant...
%System%\WinNt32.dll - Trojan-Downloader.Win32.Mutant...

[b]Способ запуска[/b]
Драйвер: tcpsr

[b]Алиасы[/b]
BackDoor.Bulknet.188 (DrWeb)
Scagent.T (AVG)
Trojan-Dropper.Win32.Agent.rek (GData)
Trojan.Dropper.Cutwail.D (BitDefender)
Trojan.Win32.Undef.ghy (Rising)
TrojanDropper:Win32/Cutwail.AA (Microsoft)
TrojanDropper.Agent.rek (CAT-QuickHeal)
W32/Agent.BD.gen!Eldorado (F-Prot)
W32/Agent.FPPA (Norman)
W32/Agent.REK!tr (Fortinet)
Win32/Cutwail (eTrust-Vet)
Win32/Wigon.BY (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/7375324c6135ab3f044560b0175c1c8a[/url]

[b]Описание[/b]
Распространяется через взломанные web-сайты.
Имеет свойства руткита.
Функционирует как модуль пространства ядра. Запускается и в безопасном режиме загрузки Windows.

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=22695[/url]
[url]http://virusinfo.info/showthread.php?t=22746[/url]
[url]http://virusinfo.info/showthread.php?t=22779[/url]
[url]http://virusinfo.info/showthread.php?t=22832[/url]
[url]http://virusinfo.info/showthread.php?t=23076[/url]
[url]http://virusinfo.info/showthread.php?t=23429[/url]
[url]http://virusinfo.info/showthread.php?t=23475[/url]
[url]http://virusinfo.info/showthread.php?t=23843[/url]
[url]http://virusinfo.info/showthread.php?t=23850[/url]

[b]Файлы на диске[/b]
Драйвер в папке C:\WINDOWS\system32\Drivers со случайным именем с двумя цифрами на конце, например:
C:\WINDOWS\System32\drivers\Ubg84.sys
27136 байт
Устанавливается вместе с файлом
%System%\WinNt32.dll - Trojan-Downloader.Win32.Mutant...

[b]Способ запуска[/b]
Драйвер. Иногда отсутствует в списке драйверов лога AVZ.

[b]Алиасы[/b]
Trojan.Packed.460, Trojan.Spambot.3251, Trojan.Spambot.3253 (DrWeb)
Trojan.Peed.PJ (BitDefender)
Win32.Email-Worm.Zhelatin.yu.4 (CAT-QuickHeal)
[url]http://www.virustotal.com/ru/analisis/ad693500a8d1cb79d6871d2350465cfa[/url]

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=22801[/url]
[url]http://virusinfo.info/showthread.php?t=22814[/url]
[url]http://virusinfo.info/showthread.php?t=22887[/url]
[url]http://virusinfo.info/showthread.php?t=22960[/url]
[url]http://virusinfo.info/showthread.php?t=22965[/url]
[url]http://virusinfo.info/showthread.php?t=23646[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\herjek.exe

[b]Способ запуска[/b]
Ключ реестра HKEY_USERS,
.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, herjek

[b]Алиасы[/b]
Downloader.Generic7.NJL (AVG)
Downloader.Small.vuy (Ewido)
TR/Dldr.Small.vuy (AntiVir)
Trj/Downloader.TRX (Panda)
Trojan.Dldr.Small.vuy (Webwasher-Gateway)
Trojan.DownLoader.60052 (DrWeb)
TrojanDownloader.Small.vuy (CAT-QuickHeal)
W32/Small.VUY!tr.dldr (Fortinet)
[url]http://www.virustotal.com/ru/analisis/d029393851f1173a21115ffe1eb3ab03[/url]

[b]Описание[/b]
В файле "прямым текстом" указана ссылка на exe-файл на хосте 195.5.116.240, расположенном в Эстонии.

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=22888[/url]
[url]http://virusinfo.info/showthread.php?t=22948[/url]
[url]http://virusinfo.info/showthread.php?t=23007[/url]
[url]http://virusinfo.info/showthread.php?t=23037[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\subsys.dll
4096 байт

[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\subsys,
DLLName subsys.dll

[b]Алиасы[/b]
Adware/MultimediaDecoder (Panda)
Downloader.Generic7.IZY (AVG)
Druogna (McAfee)
TR/Dldr.Peregar.CG.1 (AntiVir)
Troj/Zlob-AJC (Sophos)
Trojan:Win32/Delflob.I (Microsoft)
Trojan.BHO.OAS (BitDefender)
Trojan.Dldr.Peregar.CG.1 (Webwasher-Gateway)
Trojan.Downloader-33091 (ClamAV)
Trojan.DownLoader.59078 (DrWeb)
Trojan.Fakeavalert (Symantec)
Trojan/Downloader.Peregar.cg (TheHacker)
TrojanDownloader.Peregar.cg (CAT-QuickHeal)
W32/Downldr2.BXCO (F-Prot)
W32/Peregar.CG!tr.dldr (Fortinet)
Win32: Peregar-K (Avast)
Win32/Adware.IeDefender.NDH (NOD32v2)
Win32/Burgspill!generic (eTrust-Vet)
[url]http://www.virustotal.com/ru/analisis/7b68d746e6f0c463d050aaa1e16bd60e[/url]

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=21900[/url]
[url]http://virusinfo.info/showthread.php?t=21941[/url]
[url]http://virusinfo.info/showthread.php?t=22833[/url]
[url]http://virusinfo.info/showthread.php?t=23297[/url]

[b]Файлы на диске[/b]
Имя файла случайное, находиться в папке C:\WINDOWS, например:
C:\WINDOWS\tonsakre.dll
C:\WINDOWS\zsokry.dll
216064 байт

[b]Способ запуска[/b]
BHO
CLSID: {95E1D855-9232-48F7-80D9-1ADB65B7939C}

[b]Алиасы[/b]
Downloader.Delf.cxa (Ewido)
GenPack:Generic.Malware.SP!BdldPk!g.1CEB408A (BitDefender)
Mal/Emogen-Y (Sophos)
MalwareScope.Trojan-PSW.Game.14 (VBA32)
SHeur.AAKQ (AVG)
TROJ_DELF.MYR (Trend Micro)
Trojan-Downloader.Win32.Delf.cxa (GData)
Trojan.Downloader-17478 (ClamAV)
Trojan.DownLoader.36467 (DrWeb)
TrojanDownloader.Delf.cxa (CAT-QuickHeal)
W32/Delf.CXA!tr.dldr (Fortinet)
W32/Heuristic-210!Eldorado (F-Prot)
W32/Hupigon.BMSP (Norman)
Win32:Agent-SIM (Avast)
Win32/SillyAutorun.AD (eTrust-Vet)
Worm:Win32/SillyShareCopy.F (Microsoft)
Worm.Win32.AvKiller.ca (Rising)
[url]http://www.virustotal.com/ru/analisis/12bf1318282071b0700ddceb87de3f63[/url]

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=20009[/url]
[url]http://virusinfo.info/showthread.php?t=20604[/url]
[url]http://virusinfo.info/showthread.php?t=23080[/url]
[url]http://virusinfo.info/showthread.php?t=23288[/url]
[url]http://virusinfo.info/showthread.php?t=23623[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\MicrSoft.exe
MicrSoft.exe в корне других дисков.
22714 байт

[b]Способ запуска[/b]
1. Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, MicrSoft
2. Устанавливается как отладчик процессов различных антивирусов и др. программ.

[b]Внешние проявления [/b](со слов пользователей)
Антивирус не запускается.

[quote=AndreyKa;234655][B]Алиасы[/B]
Downloader.Delf.cxa (Ewido)
GenPack:Generic.Malware.SP!BdldPk!g.1CEB408A (BitDefender)
Mal/Emogen-Y (Sophos)
MalwareScope.Trojan-PSW.Game.14 (VBA32)
SHeur.AAKQ (AVG)
TROJ_DELF.MYR (Trend Micro)
Trojan-Downloader.Win32.Delf.cxa (GData)
Trojan.Downloader-17478 (ClamAV)
Trojan.DownLoader.36467 (DrWeb)
TrojanDownloader.Delf.cxa (CAT-QuickHeal)
W32/Delf.CXA!tr.dldr (Fortinet)
W32/Heuristic-210!Eldorado (F-Prot)
W32/Hupigon.BMSP (Norman)
Win32:Agent-SIM (Avast)
Win32/SillyAutorun.AD (eTrust-Vet)
Worm:Win32/SillyShareCopy.F (Microsoft)
Worm.Win32.AvKiller.ca (Rising)
[URL]http://www.virustotal.com/ru/analisis/12bf1318282071b0700ddceb87de3f63[/URL]

[B]Встречен в темах[/B]
[URL]http://virusinfo.info/showthread.php?t=20009[/URL]
[URL]http://virusinfo.info/showthread.php?t=20604[/URL]
[URL]http://virusinfo.info/showthread.php?t=23080[/URL]
[URL]http://virusinfo.info/showthread.php?t=23288[/URL]
[URL]http://virusinfo.info/showthread.php?t=23623[/URL]

[B]Файлы на диске[/B]
C:\WINDOWS\system32\MicrSoft.exe
MicrSoft.exe в корне других дисков.
22714 байт

[B]Способ запуска[/B]
1. Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, MicrSoft
2. Устанавливается как отладчик процессов различных антивирусов и др. программ.

[B]Внешние проявления [/B](со слов пользователей)
Антивирус не запускается.[/quote]
Небольшое дополнение по зверю:
Размер исполняемого файла 22 кб, исполняемый файл упакован.
1. Выполняет через cmd.exe консольную команду date, меняя системную дату на 2005 год. Как известно, лицензии многих антивирусов привязаны к дате и перевод даты на несколько лет назад приводит к блокировке их работы
2. Зловред активирует для своего процесса привилегию SeDebugPrivilege
3. пытается остановить процессы ряда антивирусов - для этого он изучает список запущенных процессов и убивает процессы по именам
4. Создает в корне дисков файлы X:\AutoRun.inf и X:\MicrSoft.exe (MicrSoft.exe - копия исполняемого файла зловреда, в autorun классические строчки типа Shell\Open\Command=MicrSoft.exe и Shell\Explore\Command=MicrSoft.exe)
5. Зловред запускает InternetExplorer, модифицирует память его процесса и модифицирует контекст главного потока IE для запуска своего троянского кода. Аналогичную операцию он делает с svchost.exe. Зловред пытается обмениваться с Инет и загружать файлы (URL уже недоступен)
6. Повреждает параметры загрузки в защищенном режиме, удаляя ряд ключей
7. Регистрирует массу отладчиков процессов, в основном для антивирусов и прочего защитного ПО. Отладчиком он прописывает файл C:\WINDOWS\system32\MicrSoft.exe (это еще одна копия зловреда, он создает ее при запуске)
Исходный файл зловреда после запуска самоуничтожается классическим методом - при помощи BAT файла. В распакованном EXE видна внушительная база данных исполняемых файлов, с которым борется данный зловред.

[b]Алиасы[/b]
BlockReason.0 (Webwasher-Gateway)
Trojan.MulDrop.16286 (DrWeb)
[url]http://www.virustotal.com/ru/analisis/8c3434b4cef6e431aa957312b5b79771[/url]

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=23646[/url]
[url]http://virusinfo.info/showthread.php?t=23738[/url]
[url]http://virusinfo.info/showthread.php?t=23742[/url]
[url]http://virusinfo.info/showthread.php?t=23885[/url]
[url]http://virusinfo.info/showthread.php?t=23938[/url]
[url]http://virusinfo.info/showthread.php?t=23960[/url]
[url]http://virusinfo.info/showthread.php?t=24016[/url]
[url]http://virusinfo.info/showthread.php?t=24820[/url]

[b]Файлы на диске[/b]
Файл в папке C:\WINDOWS\Temp с именем NT*.exe, где вместо звёздочки несколько шестнадцатеричных цифр, например:
C:\WINDOWS\Temp\NT11032.exe
C:\WINDOWS\Temp\NT4E32.exe
37376 байт

[b]Способ запуска[/b]
Записывает в папки с бараузерами Internet Explorer, Opera и Firefox троянский файл setupapi.dll ([b]Trojan.Win32.Agent.qtj[/b])

[b]Алиасы[/b]
Agent.WGN (AVG)
Trojan:Win32/Chksyn.gen!A (Microsoft)
Trojan.Agent-26275 (ClamAV)
Trojan.Agent.qry (CAT-QuickHeal)
Trojan.PWS.Lich (DrWeb)
Win32/Agent.NWA (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/16b38717f64137a854a394d4e34fda31[/url]

[b]Описание[/b]
При удалении данного трояна пользователь не сможет войти в систему.
Поэтому, его следует заменить на здоровый файл из папки c:\windows\system32\dllcache

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=23646[/url]
[url]http://virusinfo.info/showthread.php?t=23696[/url]
[url]http://virusinfo.info/showthread.php?t=23719[/url]
[url]http://virusinfo.info/showthread.php?t=23738[/url]
[url]http://virusinfo.info/showthread.php?t=23960[/url]
[url]http://virusinfo.info/showthread.php?t=24115[/url]
[url]http://virusinfo.info/showthread.php?t=24122[/url]

[b]Файлы на диске[/b]
c:\windows\system32\userinit.exe
32212 байт

[b]Способ запуска[/b]
Подменяет собой системный файл userinit.exe, который переименовывается в sdjeavd.tmp

[b]Алиасы[/b]
Agent.WAD (AVG)
TR/Agent.30208 (AntiVir)
Trojan.Agent-26215 (ClamAV)
Trojan.Agent.30208 (Webwasher-Gateway)
Trojan.DownLoader.62734 (DrWeb)
Trojan/Agent.qtj (TheHacker)
[url]http://www.virustotal.com/ru/analisis/06190c990d66e17cfefc6ad500d32fc7[/url]

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=23626[/url]
[url]http://virusinfo.info/showthread.php?t=23738[/url]
[url]http://virusinfo.info/showthread.php?t=23960[/url]
[url]http://virusinfo.info/showthread.php?t=24115[/url]

[b]Файлы на диске[/b]
SETUPAPI.dll в папке браузера, например:
C:\Program Files\Internet Explorer\SETUPAPI.dll
30208 байт

[b]Способ запуска[/b]
1. Загружается при старте браузера вместо системной библиотеки SETUPAPI.dll.
2. Прописывает себя как отладчик процесса rundll32.exe:
Debugger = "%ProgramFiles%\Internet Explorer\rundll32 setupapi.dll,s"

[b]Алиасы[/b]
BackDoor.Generic9.ARTE (AVG)
Trojan.Agent.AIVZ (BitDefender)
Trojan.DNSChanger.dqm (CAT-QuickHeal)
Trojan.NtRootKit.1182 (DrWeb)
VirTool:WinNT/Pasich.A (Microsoft)
W32/DNSChanger.BBQY (Norman)
W32/DNSChanger.DQM!tr (Fortinet)
Win32: DNSChanger-VJ (Avast)
[url]http://www.virustotal.com/ru/analisis/f496ca385265389df80698417daa3f80[/url]

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=23646[/url]
[url]http://virusinfo.info/showthread.php?t=23885[/url]
[url]http://virusinfo.info/showthread.php?t=23940[/url]
[url]http://virusinfo.info/showthread.php?t=24455[/url]
[url]http://virusinfo.info/showthread.php?t=24499[/url]

[b]Файл на диске[/b]
C:\WINDOWS\system32\Drivers\clbdriver.sys
6656 байт
Также на диске существует файл:
C:\WINDOWS\system32\clbdll.dll
который может детектироваться под разными именами, например:
[b]Rootkit.Win32.Clbd.p[/B]
[b]Rootkit.Win32.Clbd.bb[/B]
[B]Trojan-Downloader.Win32.Agent.qpq[/B]

[b]Способ запуска[/b]
Упоминания о данном рутките может отсутствовать в логах AVZ, выполненных согласно Правилам нашего форума.
Обнаружить присутствие данного руткита AVZ может, если установлен драйвер расширенного мониторинга процессов AVZPM.

[b]Внешние проявления [/b](со слов пользователей)
Не запускаются браузеры Opera и Firefox, работает только Internet Explorer.
Обновление антивируса не работает. Сайт антивируса не доступен.

[b]Алиасы[/b]
PSW.Agent.TMB (AVG)
TR/Dldr.Agent.NDX.2 (AntiVir)
Trj/Downloader.TZF (Panda)
Troj/Bckdr-QNZ (Sophos)
Trojan.Dldr.Agent.NDX.2 (Webwasher-Gateway)
Trojan.DownLoader.63153 (DrWeb)
Trojan/Downloader.Agent.nsx (TheHacker)
TrojanDownloader.Agent.nsx (CAT-QuickHeal)
TSPY_AGENT.AGDG (TrendMicro)
W32/Generic.A!tr.dldr (Fortinet)
Win32:Trojan-gen {Other} (Avast)
Win32.Worm.Socks.AT (BitDefender)
Win32/Zalup.AA (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/a12aaf2f7783d0aafcd239271e21359b[/url]

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=24176[/url]
[url]http://virusinfo.info/showthread.php?t=24394[/url]
[url]http://virusinfo.info/showthread.php?t=24402[/url]
[url]http://virusinfo.info/showthread.php?t=24612[/url]
[url]http://virusinfo.info/showthread.php?t=24669[/url]
[url]http://virusinfo.info/showthread.php?t=24677[/url]
[url]http://virusinfo.info/showthread.php?t=24679[/url]
[url]http://virusinfo.info/showthread.php?t=24737[/url]
[url]http://virusinfo.info/showthread.php?t=24806[/url]

[b]Файлы на диске[/b]
Встречается под разными именами, например:
C:\WINDOWS\system32\explorer.dll
C:\WINDOWS\system32\ftp34.dll
C:\Documents and Settings\Администратор\ftp34.dll
C:\Documents and Settings\User\explorer.dll
4608 байт
Создаётся вредоносными программами:
P2P-Worm.Win32.Socks.ea
P2P-Worm.Win32.Socks.ec
Они могут иметь следующие имена:
C:\Documents and Settings\_Пользователь_\Главное меню\Программы\Автозагрузка\userinit.exe
C:\Documents and Settings\_Пользователь_\svchost.exe
C:\WINDOWS\system32\drivers\services.exe

[b]Алиасы[/b]
TR/Drop.Agent.KCN (AntiVir)
Trojan.DL.Win32.Mnless.ajh (Rising)
Trojan.DownLoader.62860 (DrWeb)
Trojan.Drop.Agent.KCN (Webwasher-Gateway)
Trojan/Downloader.Agent.nzo (TheHacker)
TrojanDownloader.Agent.nzo (CAT-QuickHeal)
W32/Srizbi.BH (Norman)
Win-Trojan/Agent.12800.EH (AhnLab-V3)
[url]http://www.virustotal.com/ru/analisis/15f9ecc00713c5682b25b438181b85b8[/url]

[b]Описание[/b]
При удалении данного трояна пользователь не сможет войти в систему.
Поэтому, его следует заменить на здоровый файл из папки c:\windows\system32\dllcache
Загружает и запускает вредоносные программы с сайта [b]maseratto.info[/b]

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=24679[/url]
[url]http://virusinfo.info/showthread.php?t=24680[/url]
[url]http://virusinfo.info/showthread.php?t=24737[/url]
[url]http://virusinfo.info/showthread.php?t=24754[/url]
[url]http://virusinfo.info/showthread.php?t=24768[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\userinit.exe
12800 байт

[b]Способ запуска[/b]
Подменяет собой системный файл userinit.exe, который переименовывается в userini.exe

[b]Внешние проявления [/b]
Сам себя не проявляет, но вредоносные программы, которые он скачивает из Интернета и запускает, могут проявлять себя. Например, так:
На рабочем столе появляется надпись:
[quote][center][size=+1][b]
Warning!
Spyware detected on your computer!
Install an antivirus or spyware remover to
clean you computer.
[/size][/b][/center][/quote]
При этом отключается служба восстановления системы (чтобы удалить все сохранённые состояния) и затем включается и создаётся точка восстановления с именем "Last good restore point".

[b]Алиасы[/b]
Downloader.Generic7.YAV (AVG)
TR/Dldr.FraudLoad.vagw (AntiVir)
TROJ_RENOS.WR (TrendMicro)
Trojan.Dldr.FraudLoad.vagw (Webwasher-Gateway)
TrojanDownloader:Win32/Renos.DG (Microsoft)
TrojanDownloader.FraudLoad.va (CAT-QuickHeal)
Win32/Adware.IeDefender.NGB (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/866b07be5f4b320102bf3a9c857565e1[/url]

[b]Описание[/b]
При использовании Internet Explorer имитирует сообщения о вирусной атаке и предлагает получить защиту (на самом деле установить троян).
[quote]
[size=+1][color=blue]Insecure Internet activity. Threat of virus attack[/size][/color]
_________________________________________________________
Due to insecure Internet browsing your PC can easily get infected with viruses, worms and trojans without your
...
[/quote]
Кроме того, при посещении страниц в IE и при открытии папок в Проводнике появляется всплывающее окно сообщения с заголовком [b]Critical Error![/b]
Текст сообщения:
[quote]Attention, [имя пользователя]! Some dangerous viruses detected in you system. Microsoft Windows XP files corrupted.
This may lead to the destruction of important files in C:\WINDOWS. Download protection software now!
Click OK to download the antispyware. (Recommended)[/quote]
Если пользователь соглашается, то открывается страница на сайте [b]free-viruscan.com[/b] с ложными данными о наличии ошибок и предлагающих скачать антивирус чтобы их исправить.
Фальшивый антивирус загружается с домена [b]getieantivirus.com[/b] и на данный момент детектируется как:
ADSPY/AdSpy.Gen (AntiVir)
Trojan:Win32/Delflob.I (Microsoft)
IE Defender-Installer (Sophos)
[url]http://www.virustotal.com/ru/analisis/c672d41c160f15c31961ca3cfd40a77e[/url]

[b]Встречен в темах[/b]
[thread]26099[/thread]
[thread]26111[/thread]
[thread]26188[/thread]

[b]Файлы на диске[/b]
Имена у файла могут быть различные. Например:
C:\WINDOWS\system32\epsonbho.dll
C:\WINDOWS\system32\epsdrv.dll
C:\WINDOWS\system32\epsbho.dll
22528 байт

[b]Способ запуска[/b]
BHO
CLSID {87FD33C2-7891-45D5-ACD1-7935F9AEA26B}

[b]Дополнительные алиасы Trojan.Win32.BHO.eya[/b]
TR/BHO.eya (AntiVir)
TROJ_FAKEAVALE.L (TrendMicro)
Trojan.BHO.eya (CAT-QuickHeal)
Trojan.Click.19457 (DrWeb)
Trojan.Renos.NDD (BitDefender)
W32/BHO.DPO (Norman)
Win32/Adware.IeDefender.NGG (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/7e1d20d3c307c280be40dc54c6d42980[/url]

[b]Встречен в темах[/b]
[thread]26423[/thread]
[thread]26425[/thread]
[thread]26428[/thread]
[thread]26487[/thread]

[b]Файлы на диске[/b]
Возможны различные названия, например:
C:\WINDOWS\system32\iefltr.dll
C:\WINDOWS\system32\iexp_f.dll
20992 байт

[b]Способ запуска[/b]
BHO
CLSID {8B2AE9C0-1555-4C92-905A-531532F15698}

[b]Дополнительные алиасы Trojan-Downloader.Win32.BHO.qb[/b]
BHO.FEW (AVG)
TR/Dldr.BHO.QB (AntiVir)
TROJ_DLOADER.KRK (TrendMicro)
Troj/Istbar-DY (Sophos)
Trojan.BHO-3834 (ClamAV)
Trojan.Dldr.BHO.QB (Webwasher-Gateway)
Trojan.Fakealert.1187 (DrWeb)
Trojan.Fakeavalert (Symantec)
Trojan.Win32.Downloader.20480.HL (ViRobot)
Trojan.Zlob.CQJ (BitDefender)
TrojanDownloader.BHO.qb (CAT-QuickHeal)
W32/Zlob.CDZP (Norman)
Win32/Adware.IeDefender.NGT (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/da51b2ee735be27861aef8f56f9b8ec2[/url]

[b]Описание[/b]
Теперь в окне Internet Explorer отображается такое сообщение с сайта [b]free-viruscan.com[/b]:
[quote]
[size=+1][color=red]Warning [/color]- you are infected by this site! Please, read our suggestions![/size]

You can learn more about harmful web content and protect your computer at [color=blue]Internet Explorer Antivirus[/color].
Just [color=blue]download IE Antivirus[/color] Now and Protect your Business forever!
[/quote]

[b]Встречен в темах[/b]
[thread]27901[/thread]
[thread]27977[/thread]
[thread]27980[/thread]
[thread]28119[/thread]

[b]Файлы на диске[/b]
Имя файла может быть различным:
C:\WINDOWS\system32\gtbl.dll
C:\WINDOWS\system32\g2tbl.dll
20480 байт

[b]Способ запуска[/b]
BHO GTool
CLSID: {53322B35-2C26-4FAC-A713-C31BBAA1C636}

[b]Алиасы[/b]
Adware.XMLMime.1 (DrWeb)
Adware.XmlMimeFilter.85504 (ViRobot)
Generic3.IIY (AVG)
TR/BHO.Agent.85504 (AntiVir)
Trojan.Adclicker (Symantec)
Trojan.BHO.Agent.85504 (Webwasher-Gateway)
Win32/Adware.Agent.NJB (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/c433b44805afb00759bc2d8cf561787d[/url]

[b]Описание[/b]
В файле зашиты два списка имен доменов. Первый:
[code]
yandex.ru
rambler.ru
google.com
mail.ru
google.ru
vkontakte.ru
odnoklassniki.ru[/code]
И второй, скорее всего, как источник фальшивых данных для искажения работы сайтов из первого списка:
[code]
01searchfeed.ru
allfindz.ru
allianzoo.ru
beefunny.ru
cangomors.ru
partymotex.ru
sites-obzor.ru
site-ortek.ru
v-cataloge.ru
www.4-seacher.ru[/code]

[b]Встречен в темах[/b]
[thread]26789[/thread]
[thread]27123[/thread]
[thread]27180[/thread]
[thread]27490[/thread]
[thread]27717[/thread]

[b]Файлы на диске[/b]
C:\windows\twain_8.dll
85504 байт

[b]Способ запуска[/b]
Protocol
Описание: DLL Module (XMLMimeFilter MIME Filter Sample)
CLSID: {53B95211-7D77-11D2-9F80-00104B107C96}
Файл: C:\windows\twain_8.dll

[b]Алиасы[/b]
TR/Agent.zdw (AntiVir)
Trojan.Agent.zdw (CAT-QuickHeal)
Trojan.Packed.573 (DrWeb)
Trojan.Win32.Agent.43008.O (ViRobot)
W32/Agent.ZDW!tr (Fortinet)
Win-Trojan/Proxy.43008.B (AhnLab-V3)
[url]http://www.virustotal.com/ru/analisis/af45d51f7671ff65e7df3444e75c6ba8[/url]

[b]Описание[/b]
Может запускаеть несколько своих процессов.
Останавливает службы "Центр обеспечения безопасности" и "Брандмауэр Windows".
Добавляет себя в список исключений Брандмауэра Windows.
Способен отправлять сообщения по электронной почте.
В файле пристствуют IP адреса 192.168.1.164, 206.137.17.89, 66.232.109.178 и 209.20.130.33.

[b]Встречен в темах[/b]
[thread]28227[/thread]
[thread]28288[/thread]
[thread]28324[/thread]
[thread]28440[/thread]
[thread]28506[/thread]

[b]Файлы на диске[/b]
C:\WINDOWS\services.exe
43008

[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, services
C:\WINDOWS\services.exe

[b]Алиасы[/b]
Antivirus2008.DO (Norman)
Backdoor.Win32.Frauder.r (GData)
Hoax.Win32.AntivirusXP (VBA32)
MemScan:Trojan.FakeAlert.AAH (BitDefender)
SHeur.CDJI (AVG)
TR/Fakealert.aah.9 (AntiVir)
Trj/Banker.FWD (Panda)
Trojan.Blusod (Symantec)
Trojan.Fakealert.aah.9 (Webwasher-Gateway)
Trojan.Packed.600 (DrWeb)
TrojanBanker.Banker.uvo (CAT-QuickHeal)
TrojanDownloader:Win32/Renos.gen!AU (Microsoft)
W32/Banker.UVO!tr (Fortinet)
Win-Trojan/FakeAV.194560 (AhnLab-V3)
[url]http://www.virustotal.com/ru/analisis/ef77c288995fc2bdd11ee1b5aa9f7c4e[/url]

[b]Описание[/b]
Копирует себя в системую папку Windows.
Прописывается в реестре для автозагрузки.
Устанавливает в качестве фона рабочего стола картинку с надписью:
[quote][center]
[size=+2][b]Warning![/size]
[size=+1]Spyware detected on you computer![/size][/b]

Install an antivirus or spyware to clean your computer

[/center]
Warning! Win32/Adware.Virtumode
Detected on you computer

Warning! Win32/PrivacyRemover.M64
Detected on you computer
[/quote]
Устанавливает в качестве хранителя экрана имитацию BSOD (синий экран).
Удает все сохранённые точки восстановления и затем создаёт точку восстановления с именем "Last good restore point" (она содержит в себе данный троян).
В файле присутствуют следующие имена доменов:
[quote]
odnoklassniki.ru
vkontakte.ru
google.ru
statsbank.com
boards.cexx.org
adultwebmasterinfo.com
dialerschutz.de
webmasterworld.com
crutop.nu
gofuckyourself.com
santa-inbox.com
[/quote]

[b]Встречен в темах[/b]
[thread]28328[/thread]
[thread]28355[/thread]
[thread]28440[/thread]

[b]Файлы на диске[/b]
c:\windows\system32\lphc_набор_букв_и_цифр_.exe
194560 байт

[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, lphc1j5j0e3gd
C:\WINDOWS\system32\lphc1j5j0e3gd.exe
(Прим.: имена файла и ключа будут другие)

[b]Внешние проявления [/b](со слов пользователей)
На рабочем столе появилось изображение с надписью "Warning! Spyware detected on your computer!..." на белом фоне, в свойствах рабочего стола исчезли вкладки "Рабочий стол" и "Заставка".

[b]Алиасы Backdoor.Win32.Frauder.bu[/b]
BDS/Frauder.bu (AntiVir)
Downloader-ASH.gen.b (McAfee)
Downloader.FraudLoad.N (AVG)
TROJ_FAKEALER.OE (TrendMicro)
Trojan.Backdoor.Frauder.bu (Webwasher-Gateway)
Trojan.FakeAlert.ACR (BitDefender)
Trojan.Packed.619 (DrWeb)
Trojan.Win32.Packed.203776 (ViRobot)
W32/Tibs.gen225 (Norman)
Win32:Tibs-EJA (Avast)
[url]http://www.virustotal.com/ru/analisis/b77911ddff8f9c5837c9503f1dd40a30[/url]

[b]Встречен в темах[/b]
[thread]28948[/thread]
[thread]28984[/thread]
[thread]29008[/thread]
[thread]29010[/thread]
[thread]29036[/thread]
[thread]29059[/thread]
[thread]29068[/thread]
[thread]29142[/thread]
[thread]29182[/thread]
[thread]29250[/thread]

[b]Файл на диске[/b]
203776 байт

[b]Алиасы Backdoor.Win32.Frauder.fk[/b]
BDS/Frauder.FJ (AntiVir)
Downloader.Generic7.AOUH (AVG)
TROJ_FAKEAV.HP (TrendMicro)
Trojan.FakeAlert.AEZ (BitDefender)
Trojan.Packed.636 (DrWeb)
TrojanDownloader:Win32/Renos.AS (Microsoft)
W32/ASH.FJ!tr.bdr (Fortinet)
W32/DLoader.JNTL (Norman)
Win-Trojan/Fakeav.199168.G (AhnLab-V3)
Win32.Backdoor.Frauder.fk.4 (CAT-QuickHeal)
Win32/Bugnraw.KS (eTrust-Vet)
Win32/TrojanDownloader.FakeAlert.JP (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/d003731704b3f10d134a194ff4e61825[/url]

[b]Отличия Backdoor.Win32.Frauder.fk[/b]
В файле присутствуют следующие имена доменов:
av-xp2008.com
presents.avxp2008.com
youpornztube.net

[b]Встречен в темах[/b]
[thread]30163[/thread]
[thread]30178[/thread]
[thread]30198[/thread]
[thread]30225[/thread]
[thread]30268[/thread]
[thread]30279[/thread]
[thread]30298[/thread]
[thread]30303[/thread]
[thread]30318[/thread]
[thread]30347[/thread]
[thread]31122[/thread]
[thread]31492[/thread]

[b]Файл на диске[/b]
199168 байт

[b]Алиасы[/b]
TR/PSW.Agent.knw (AntiVir)
Trojan.BHO.gcs (CAT-QuickHeal)
Trojan.Click.20003 (DrWeb)
Trojan.PSW.Agent.knw (Webwasher-Gateway)
Trojan.Win32.BHO.249856 (ViRobot)
Trojan/BHO.gcs (TheHacker)
Win-Trojan/Bho.249856 (AhnLab-V3)
[url]http://www.virustotal.com/ru/analisis/a94cdd71dc8c0b0b915c3ecafcb04ebe[/url]

[b]Встречен в темах[/b]
[thread]28396[/thread]
[thread]28442[/thread]
[thread]28499[/thread]
[thread]28651[/thread]
[thread]28755[/thread]
[thread]28850[/thread]
[thread]28980[/thread]
[thread]29129[/thread]
[thread]29218[/thread]
[thread]29453[/thread]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
249856 байт
Также возможно присутствие вредоносных файлов:
C:\WINDOWS\SYSTEM32\VIDEO.sys
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\winhelp32.exe
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp

[b]Способ запуска[/b]
1. Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
Значение: C:\WINDOWS\SYSTEM32\vmmreg32.dll
2. BHO {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}
C:\WINDOWS\system32\vmmreg32.dll
3. AppInit_DLLs: vmmreg32.dll

[b]Алиасы[/b]
PSW.Generic6.YOJ (AVG)
TR/Spy.ZBot.eev.4 (AntiVir)
Trojan.Proxy.3780 (DrWeb)
Trojan.Spy.ZBot.eev.4 (Webwasher-Gateway)
Trojan.Spy.ZBot.JR (BitDefender)
W32/Zbot.AXZ (Norman)
[url]http://www.virustotal.com/ru/analisis/06d1095f77997b4c62be8e4aff2a976c[/url]

[b]Описание[/b]
При запуске троян прописывет свою автоматическую загрузку в реестре, подключается к серверу с адресом 195.2.252.33 и скачивает зашифрованный файл.
Данный сервер находится в сети провайдера [b]Madet Ltd.[/b] г. Москва.
В данный момент на нём также выложены другие вредоносные файлы:
1.exe = Trojan.Srizbi.Dropper.1.Gen
2.exe = Rootkit.Win32.Agent.cun (Trojan.Proxy.3541)

[b]Встречен в темах[/b]
[thread]28621[/thread]
[thread]28898[/thread]
[thread]28948[/thread]
[thread]29172[/thread]
[thread]29221[/thread]
[thread]29324[/thread]
[thread]29542[/thread]

[b]Файлы на диске[/b]
С:\WINDOWS\system32\oembios.exe
размер файла в пределах ~100-600 КБ.

[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon
UserInit=C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\oembios.exe,

[b]Внешние проявления [/b](со слов пользователей)
Компьютер перезагружается после входа пользователя в нормальном режиме загрузки Windows.

[b]Алиасы[/b]
Adware.Agent.ZO (PCTools)
Adware.Bravia.Gen!Pac.2 (VirusBuster)
Backdoor.Agent.ZQB (BitDefender)
Backdoor.Small.ejx (CAT-QuickHeal)
Backdoor.Small.eug (Ewido)
Backdoor.Win32.Small.6144.F (ViRobot)
Backdoor.Win32.Small.ejx (K7AntiVirus)
Backdoor/Small.eug (TheHacker)
TROJ_AGENT.AEUM (TrendMicro)
Trojan.Proxy.1739 (DrWeb)
Trojan.Virantix.C (Symantec)
Trojan.Win32.Undef.krb (Rising)
TrojanDownloader:Win32/Eldycow.gen!A (Microsoft)
W32/Backdoor2.CCYP (F-Prot)
W32/Small.EU!tr.dldr (Fortinet)
W32/Smalldoor.BZKQ (Norman)
Win-Trojan/Agent.6144.HK (AhnLab-V3)
Win32/Eldycow.EL (eTrust-Vet)
Win32/TrojanDownloader.Agent.OBD (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/a01df32955ec68e9e6fe3b99461de96e[/url]

[b]Встречен в темах[/b]
[thread]28722[/thread]
[thread]29426[/thread]
[thread]29657[/thread]
[thread]29693[/thread]
[thread]29716[/thread]
[thread]29743[/thread]
[thread]29766[/thread]
[thread]29857[/thread]
[thread]29858[/thread]
[thread]29889[/thread]
[thread]29929[/thread]
[thread]29955[/thread]
[thread]29972[/thread]
[thread]29986[/thread]
[thread]30174[/thread]
[thread]31021[/thread]
[thread]31219[/thread]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\karina.dat
6144 байт

[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
C:\WINDOWS\system32\karina.dat

[b]Дополнительные алиасы Backdoor.Win32.Small.gjm[/b]
Backdoor.Agent.ZWW (BitDefender)
Trj/Downloader.MDW (Panda)
TROJ_VIRANTIX.BF (TrendMicro)
Trojan.Perfcoo!sd6 (PCTools)
W32/Agent.AEUM!tr (Fortinet)
W32/DLoader.KBCH (Norman)
Win32/SillyDl.FQJ (eTrust-Vet)
[url]http://www.virustotal.com/ru/analisis/eb9f7f2780c14b83a07ca86f1937a6e5[/url]

[b]Встречен в темах[/b]
[thread]31541[/thread]
[thread]31868[/thread]
[thread]31892[/thread]
[thread]32250[/thread]
[thread]32314[/thread]
[thread]32456[/thread]
[thread]32505[/thread]
[thread]32512[/thread]
[thread]32609[/thread]
[thread]32680[/thread]
[thread]32736[/thread]
[thread]32754[/thread]
[thread]32863[/thread]
[thread]32969[/thread]
[thread]32991[/thread]
[thread]33047[/thread]

[b]Файл на диске[/b]
C:\WINDOWS\system32\karna.dat

[b]Алиасы[/b]
Adware.XPSecurityCenter.R.10240 (ViRobot)
Aplicacion/XPSecurityCenter.ai (TheHacker)
Dropper.Bravix.A (AVG)
Misc/XPSecurityCenter (Fortinet)
Packer.Malware.Lighty.F (BitDefender)
TR/Dldr.FakeAler.FM (AntiVir)
TROJ_MALBEHV.MCS (TrendMicro)
Trojan.Dldr.FakeAler.FM (SecureWeb-Gateway)
Trojan.Packed.612 (DrWeb)
Trojan.Virantix.C (Symantec)
Trojan.Zlob.Gen!Pac.54 (VirusBuster)
TrojanDownloader:Win32/Renos (Microsoft)
W32/Lighty.B (Norman)
Win32:Bravix (Avast)
Win32/FakeAVDl.Z (eTrust-Vet)
Win32/TrojanDownloader.FakeAlert.GU (NOD32)
[url]http://www.virustotal.com/ru/analisis/69ff6b8ede23794abfe48193ca7adcdf[/url]

[b]Описание[/b]
Показывает в трее красный круг с белым иксом.
Показывает всплывающее сообщение:
[quote]
[b]You computer is infected![/b]

Windows has detected spyware infection!

It is recommended to use special antispyware tools to prevent
data loss.Windows will now download and install the most
up-to-date antispyware for you.

Click here to protect you computer from spyware!
[/quote]
Устанавливает [url]http://www.google.com[/url] как стартовую страницу Internet Explorer.
Включает использование элементов ActiveX не помеченных как безопасные.
Отключает сообщения Центра Безопасности Windows о выключенном Брандмауэре, антивирусе и Автоматическом обновлении Windows.
Содержит имена доменов:
antispyware-quick-scan.com
antivirus-quick-scan.com
spyware-quickscan-2008.com
spyware-quickscan-2009.com
virus-quickscan-2008.com
virus-quickscan-2009.com

[b]Встречен в темах[/b]
[thread]29858[/thread]
[thread]29905[/thread]
[thread]29911[/thread]
[thread]29929[/thread]
[thread]29955[/thread]
[thread]29986[/thread]
[thread]30283[/thread]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\buritos.exe
C:\WINDOWS\system32\braviax.exe
c:\windows\buritos.exe
10240 байт

[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, braviax
C:\WINDOWS\system32\braviax.exe
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, braviax
C:\WINDOWS\system32\braviax.exe
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, buritos
C:\WINDOWS\system32\buritos.exe

[b]Дополнительные алиасы Hoax.Win32.Bravia.ir[/b]
Adware/RogueAntimalware2008 (Panda)
Backdoor.Tidserv (Symantec)
Hoax.Antivirus2008.Do.9216 (ViRobot)
Hoax.Bravia.ir (CAT-QuickHeal)
Hoax.Win32.Renos.vazk (VBA32)
TROJ_FAKEALER.NP (TrendMicro)
[url]http://www.virustotal.com/ru/analisis/5b021c2b06d5c2d400fa7aeaeb95388a[/url]

[b]Встречен в темах[/b]
[thread]29633[/thread]
[thread]29657[/thread]
[thread]29716[/thread]
[thread]29743[/thread]
[thread]29875[/thread]
[thread]29889[/thread]
[thread]29972[/thread]
[thread]31217[/thread]
[thread]31219[/thread]

[b]Файл на диске[/b]
9216 байт

[b]Алиасы[/b]
PSW.Generic6.AFNB (AVG)
PWS:Win32/Zbot.MW (Microsoft)
Trojan.PWS.Panda.18 (DrWeb)
TrojanSpy.Zbot.fah (CAT-QuickHeal)
TSPY_ZBOT.MCS (TrendMicro)
W32/Zbot.BGI (Norman)
Win32: Zbot-APE (Avast)
[url]http://www.virustotal.com/ru/analisis/49cc4383676973ad6884f77a4db53e19[/url]

[b]Описание[/b]
Копирует себя в системную папку.
Прописывает себя в реестр для автозагрузки.
Пытается похитить ключи и пароли к сайту интернет-банкинга [b]faktura.ru[/b]
Подключается к серверу с адресом 195.2.252.33 и скачивает зашифрованный файл.
Сервер 195.2.252.33 в данный момент распространяет новую версию данного трояна:
[url]http://www.virustotal.com/ru/analisis/188e1f3f7cd33c56be26d7e03517b46d[/url]

[b]Встречен в темах[/b]
[thread]30779[/thread]
[thread]30972[/thread]
[thread]31026[/thread]
[thread]31095[/thread]
[thread]31391[/thread]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\twext.exe
C:\WINDOWS\system32\twext.ex_
К телу размером 55296 байт дописано до нескольких сотен килобайт "мусора".

[b]Способ запуска[/b]
Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
C:\WINDOWS\system32\twext.exe
C:\WINDOWS\system32\twext.ex_

[b]Алиасы[/b]
Agent.ADDO (AVG)
BackDoor.Bulknet.237 (DrWeb)
Mal/Pushdo-A (Sophos)
TR/Agent.aeuz.4 (AntiVir)
Trj/Downloader.MDW (Panda)
Trojan:Win32/Meredrop (Microsoft)
Trojan.Agent.aeuz.4 (SecureWeb-Gateway)
Trojan.DR.Pandex.Gen.6 (VirusBuster)
Trojan.Generic.747469 (BitDefender)
Trojan.Win32.Agent.22528.Y (ViRobot)
W32/Agent.AEUZ!tr (Fortinet)
Win-Trojan/Agent.22528.IX (AhnLab-V3)
[url]http://www.virustotal.com/ru/analisis/0cea21e20b851dc8e25581c4c26a00c9[/url]

[b]Описание[/b]
Обращается к web серверам американского провайдера McColo (адреса: 208.66.192.0 - 208.66.195.255), на которых находятся многочисленные вредоносные программы.

[b]Встречен в темах[/b]
[thread]30956[/thread]
[thread]31047[/thread]
[thread]31285[/thread]
[thread]31551[/thread]

[b]Файлы на диске[/b]
C:\WINDOWS\System32\rs32net.exe
22528 байт

[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, rs32net
C:\WINDOWS\System32\rs32net.exe

[b]Алиасы[/b]
BackDoor.Bulknet.264 (DrWeb)
Trj/Downloader.MDW (Panda)
Trojan.Agent.afkj (CAT-QuickHeal)
Trojan.Crypt.LooksLike.XPACK (SecureWeb-Gateway)
TrojanDownloader:Win32/Cutwail.AA (Microsoft)
[url]http://www.virustotal.com/ru/analisis/db29368b673a9740f0b17e03bcc376ca[/url]

[b]Описание[/b]
Останавливает службы [b]Брандмауэр[/b] и [b]Центр безопасности Windows[/b].
Отключает [b]Брандмауэр Windows[/b] через политики и отключает мониторинг состояния [b]Брандмауэра Windows[/b] в [b]Центре безопасности Windows[/b].
Открывает порт 1060 TCP.
В теле трояна присутствуют IP адреса 209.20.130.33 и 66.232.118.207.
Способен отправлять электронную почту (SPAM).

[b]Встречен в темах[/b]
[thread]31408[/thread]
[thread]31577[/thread]
[thread]31638[/thread]

[b]Файлы на диске[/b]
c:\windows\services.exe
40448 байт

[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, services
C:\WINDOWS\services.exe

[b]Алиасы[/b]
Agent.ADTD (AVG)
TR/Agent.afic.1 (AntiVir)
Trj/Downloader.MDW (Panda)
Trojan.Agent.afic.1 (SecureWeb-Gateway)
Trojan.DownLoad.5244 (DrWeb)
W32/Agent.AFIC!tr (Fortinet)
W32/Agent.IRCJ (Norman)
Win32/Spy.Agent.NJL (NOD32)
[url]http://www.virustotal.com/ru/analisis/49f7abda9a9488c47019424f19bcbb1a[/url]

[b]Описание[/b]
"Шпионит" за программами explorer.exe, webmoney.exe, iexplore.exe, opera.exe и firefox.exe.

[b]Встречен в темах[/b]
[thread]31157[/thread]
[thread]31477[/thread]
[thread]31624[/thread]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\msvcrt57.dll

[b]Способ запуска[/b]
Подменяет в реестре Windows стандартный модуль webcheck.dll:
1.Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad, WebCheck
2.Модуль расширения проводника
Имя: WebCheck
CLSD: {E6FB5E20-DE35-11CF-9C87-00AA005127ED}
Файл: C:\WINDOWS\system32\msvcrt57.dll

[b]Алиасы[/b]
RootKit.Win32.Undef.rx (Rising)
Spammer:WinNT/Srizbi.gen!B (Microsoft)
Trj/Pakes.EB (Panda)
Trojan.Generic.753846 (BitDefender)
Trojan.Pakes!sd6 (PCTools)
Trojan.Pakes.kmn (CAT-QuickHeal)
Trojan.Sentinel.based (DrWeb)
W32/Smalltroj.HJSV (Norman)
Win32:Agent-ABJY (Avast)
Win32/Srizbi.NBP (NOD32)
[url]http://www.virustotal.com/ru/analisis/1ed4fa6bbdc2bd988616b5e1ac5c0892[/url]

[b]Описание[/b]
Попадает на компьютер, как правило, через СПАМ со ссылокой на выполняемый файл (e-card.exe).
Руткит. Функционирует как модуль пространства ядра.

[b]Встречен в темах[/b]
[thread]30643[/thread]
[thread]30972[/thread]
[thread]31439[/thread]
[thread]31747[/thread]

[b]Файлы на диске[/b]
Файл с расширением [b]sys[/b] в папке C:\WINDOWS\system32\Drivers со случайным именем из 8 латинских символов.
178176 байт

[b]Способ запуска[/b]
Драйвер с именем как у файла (случайное).

[b]Внешние проявления [/b](со слов пользователей)
Работа компьютера заторможенна.

[b]Алиасы[/b]
Downloader.Generic7.BCEZ (AVG)
TR/Crypt.GU.22 (AntiVir)
Trojan.Crypt.GU (BitDefender)
Trojan.Crypt.GU.22 (SecureWeb-Gateway)
Trojan.PWS.Siggen.22 (DrWeb)
Trojan.Win32.Downloader.16896.ACL (ViRobot)
TrojanDownloader:Win32/Bofang.B (Microsoft)
TrojanDownloader.Delf.phh (CAT-QuickHeal)
W32/Delf.CRNA (Norman)
W32/Delf.PHH!tr.dldr (Fortinet)
[url]http://www.virustotal.com/ru/analisis/897849cb479ad790713efea36329fe9c[/url]

[b]Описание[/b]
Записывает свою копию в файл %USERPROFILE%\Application Data\Adobe\Player.exe
В файле присутствуют URL c IP адресами 78.157.143.163 и 91.203.93.6.
По этим адресам расположены списки URL exe-файлов.
Дополнительно встречаются IP адреса 78.157.143.198 и 78.157.142.26.
Троян использует службу Windows BITS для загрузки файлов.
В данный момент упомянутые файлы детектируются антивирусом Касперского так:
Backdoor.Win32.Frauder.mb
Backdoor.Win32.Frauder.mo
Backdoor.Win32.Frauder.mr
Backdoor.Win32.Frauder.mu
Backdoor.Win32.Frauder.mv
Backdoor.Win32.Frauder.nc
Backdoor.Win32.Frauder.nd
Backdoor.Win32.TDSS.aao
Backdoor.Win32.TDSS.anp
Trojan-Downloader.Win32.Agent.ajnq

[b]Встречен в темах[/b]
[thread]32407[/thread]
[thread]32424[/thread]
[thread]32453[/thread]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\rgdam.exe
16896 байт

[b]Способ запуска[/b]
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run
Player = "%AppData%\Adobe\Player.exe"

[b]Алиасы[/b]
Adware.XPSecurityCenter.R.72660.G (ViRobot)
Downloader.MisleadApp (Symantec)
FraudTool.XPSecurityCenter.be (Not a Virus) (CAT-QuickHeal)
Generic3.YJG (AVG)
PHISH/Fraud.XPSecurityCenter.BE (AntiVir)
Trojan.Fakealert.1629 (DrWeb)
TrojanDownloader:Win32/FakeRean.gen!B (Microsoft)
W32/Behav-Heuristic-060 (TheHacker)
W32/FakeAV.EJ (F-Prot)
Win32:FraudLoad-SB (Avast)
Win32/Adware.XPAntiSpyware.AA (NOD32)
Win32/FakeAlert.HT (eTrust-Vet)
[url]http://www.virustotal.com/ru/analisis/e4aa78ef8f3a75b42bccea2be8bb9c80[/url]

[b]Описание[/b]
Скачивает с сайта [b]downloadsoftindex.com[/b] и запускает программу [b]XP Antispyware 2009[/b](Trojan.Win32.FraudPack.gju), имитирующую работу антишпионской программы. [b]XP Antispyware 2009[/b] находит не существующие вредоносные файлы и предлагает зарегистрироваться на сайте [b]xpas2009.com[/b] за 50$ для того чтобы удалить их (на следующей странице уже указана другая цена - $75.95).

[b]Встречен в темах[/b]
[thread]32446[/thread]
[thread]32456[/thread]
[thread]32505[/thread]
[thread]32856[/thread]
[thread]33185[/thread]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\wini10806.exe (цифры в имени случайные)
C:\Program Files\XP_AntiSpyware\Uninstall.exe
72660 байт

[b]Алиасы[/b]
Downloader.MisleadApp (Symantec)
Downloader.Zlob.AEXO (AVG)
OScope.Downloader.Braviax.3 (VBA32)
Packer.Malware.Lighty.I (BitDefender)
Spyware.Pakes.9728.B (ViRobot)
TR/Pakes.lel (AntiVir)
TROJ_PAKES.GA (TrendMicro)
Trojan-Downloader.MisleadApp!sd6 (PCTools)
Trojan:Win32/Renos.I (Microsoft)
Trojan.Click.19754 (DrWeb)
Trojan.Pakes.lel (CAT-QuickHeal)
Trojan.Renos.ATC (VirusBuster)
W32/FakeAlert.LEL!tr (Fortinet)
W32/Lighty.E (Norman)
Win-Trojan/Pakes.9728.G (AhnLab-V3)
Win32: Lighty-B (Avast)
Win32/FakeAlert.HU (eTrust-Vet)
[url]http://www.virustotal.com/ru/analisis/f3717fbb05b9157b648515259ec89c0b[/url]

[b]Описание[/b]
Показывает в трее красный круг с белым иксом.
Показывает всплывающее сообщение:
[quote]
[b]You computer is infected![/b]

Windows has detected spyware infection!

It is recommended to use special antispyware tools to prevent
data loss.Windows will now download and install the most
up-to-date antispyware for you.

Click here to protect you computer from spyware!
[/quote]
Устанавливает [url]http://www.google.com[/url] как стартовую страницу Internet Explorer.
Включает использование элементов ActiveX не помеченных как безопасные.
Отключает сообщения Центра Безопасности Windows о выключенном Брандмауэре, антивирусе и Автоматическом обновлении Windows.
Содержит имена доменов:
do-scan-progress.com
do-make-progress.com
do-progress.com
do-managed-scan.com
do-power-scan.com
do-step-scan.com
do-monster-progress.com
do-monsterscan.com
do-powerscan.com
do-stepscan.com
domonster-progress.com
domonster-scan.com
dopower-scan.com
dostep-scan.com
Обращяется к одному из них и получает переадресацию на файл [b]Installer.exe[/b] (Trojan.Packed.1214) на сайте [b]xpas-2009.com[/b].
Сохраняет его под именем C:\WINDOWS\system32\wini10541.exe и запускает.
Последний в свою очередь закачивает и запускает фальшивый антивирус [b]XP Antispyware 2009[/b] c сайта [b]download-soft-index.com[/b].

[b]Встречен в темах[/b]
[thread]32270[/thread]
[thread]32505[/thread]
[thread]32512[/thread]
[thread]32609[/thread]

[b]Файл на диске[/b]
c:\windows\system32\brastk.exe
9728 байт

[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run,
Ключ реестра HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run,
brastk = c:\windows\system32\brastk.exe

[b]Дополнительные алиасы FraudTool.Win32.XPSecurityCenter.bn[/b]
Adware.XPSecurityCenter.R.10752.B (ViRobot)
Misc/XPSecurityCenter (Fortinet)
Packer.Malware.Lighty.N (BitDefender)
SHeur.CQPD (AVG)
TROJ_VIRANTIX.CX (TrendMicro)
Trojan-Downloader.Win32.Braviax.gf (VBA32)
Trojan.Fakealert.1671 (DrWeb)
Trojan.Virantix!sd6 (PCTools)
Trojan.Virantix.C (Symantec)
TrojanDownloader:Win32/Renos (Microsoft)
W32/FakeAlert.ET (F-Prot)
W32/Virantix.HJ (Norman)
Win32: Lighty-B (Avast)
Win32/FakeAlert.IJ (eTrust-Vet)
Win32/TrojanDownloader.FakeAlert.GU (NOD32)
[url]http://www.virustotal.com/ru/analisis/26722ff719440efecd9f0de8329dc1ba[/url]

[b]Встречен в темах[/b]
[thread]32714[/thread]
[thread]32736[/thread]
[thread]32849[/thread]
[thread]32856[/thread]

[b]Файл на диске[/b]
c:\windows\system32\brastk.exe
10752 байт

[b]Алиасы[/b]
TR/Dldr.Exchanger.anm (AntiVir)
Trj/Exchanger.G (Panda)
Trojan.Dldr.Exchanger.anm (SecureWeb-Gateway)
Trojan.Generic.1115750 (BitDefender)
Trojan.PWS.ICQSniff.25 (DrWeb)
TrojanDownloader.Exchanger.an (CAT-QuickHeal)
VirTool:Win32/Obfuscator.CW (Microsoft)
W32/DLoader.KUKW (Norman)
W32/Exchanger.ANM!tr.dldr (Fortinet)
Win32:Rootkit-gen (Avast)
Win32.Exchanger.anm (eSafe)
[url]http://www.virustotal.com/ru/analisis/bd2f2c24c2241976d01587bd1f6d0e65[/url]

[b]Встречен в темах[/b]
[thread]33650[/thread]
[thread]33671[/thread]
[thread]33783[/thread]
[thread]34206[/thread]
[thread]34785[/thread]

[b]Файлы на диске[/b]
c:\windows\msauc.exe
73216 байт
В файле записана ложная информация о версии:
Описание: ApacheBench/SSL command line utility
Copyright 2006 The Apache Software Foundation.

[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run
lsass driver = C:\WINDOWS\msauc.exe

[b]Внешние проявления [/b](со слов пользователей)
От моего имени ICQ выслал всему контактному листу ссылку на какой-то сайт, хотя в тот день "аську" вообще не включал.

[b]Алиасы[/b]
BackDoor.Generic10.ZTX (AVG)
TR/Dldr.Small.hbg (AntiVir)
Trojan.Agent.aoss (CAT-QuickHeal)
Trojan.Dldr.Small.hbg (SecureWeb-Gateway)
Trojan.Generic.1156471 (BitDefender)
Trojan.Inject.4675 (DrWeb)
Trojan.Win32.Undef.tap (Rising)
W32/Small.GSC!tr.bdr (Fortinet)
Win-Trojan/Agent.28160.EV (AhnLab-V3)
Win32/Small.GRA (NOD32)
[url]http://www.virustotal.com/ru/analisis/2ac074d9a5e3dbf994cc3f9879703002[/url]

[b]Описание[/b]
Обращается к серверу 78.109.28.232 (находится на Украине) и скачивает зашифрованный файл.

[b]Встречен в темах[/b]
[thread]34219[/thread]
[thread]34234[/thread]
[thread]34419[/thread]
[thread]34464[/thread]
[thread]34739[/thread]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\msansspc.dll
28160 байт

[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Control\SecurityProviders,
Добавляет к значению ключа SecurityProviders имя файла: msansspc.dll

[b][COLOR="#FF0000"]Алиасы(Trojan.Win32.Jorik.Buterat.fyy):[/COLOR][/b]
Generic29.AKTV (AVG)
Win32:Buterat-PU [Trj] (Avast)
Trojan.Generic.KDV.714643 (BitDefender)
BackDoor.Butirat.91 (DrWeb)
Win32.SuspectCrc!IK (Emsisoft)
a variant of Win32/Injector.VSW (NOD32)
Trojan.Jorik.Buterat.gak (VBA32)
[url]https://www.virustotal.com/file/79073b5cb708b0f05d64e57a93c92ceaab7ddda3d08946a7452bca220b0abb76/analysis/1347285552/[/url]

[b][COLOR="#FF0000"]Встречен в темах:[/COLOR][/b]
[thread]124442[/thread]
[thread]124148[/thread]
[thread]124430[/thread]
[thread]124297[/thread]


[b][COLOR="#FF0000"]Описание:[/COLOR][/b]
[b]Файлы на диске:[/b]
[COLOR="#FF0000"]%AppData%\taskhost.exe[/COLOR]
%AppData%\System.log
%USERPROFILE%\Local Settings\History\History.IE5\index.dat
%USERPROFILE%\Cookies\index.dat
%USERPROFILE%\Local Settings\Temporary Internet Files\Content.IE5

[b]Способ запуска:[/b]
Ключ реестра HKEY_CURRENT_USER, software\Microsoft\Windows\CurrentVersion\Run, Taskhost = "%AppData%\taskhost.exe"

[b]Дополнительно:[/b]
Запрашивает имя компьютера
Запрашивает имя пользователя
Считывает список всех входных имен для удаленного доступа
Запускает службу удаленного доступа RASMAN

[B]Изменяет настройки зон безопасности в IE:[/B]
HKEY_CURRENT_USER, software\microsoft\windows\currentversion\internet settings\zonemap, intranetname = "00000001" (все локальные веб-узлы (не содержащие в своем составе точки), не сопоставленные ни с одной из зон безопасности, будут отнесены к зоне интрасети);
HKEY_CURRENT_USER, software\microsoft\windows\currentversion\internet settings\zonemap, proxybypass = "00000001" (все веб-узлы, подключенные в обход прокси-сервера, будут относиться к зоне интрасети);
HKEY_CURRENT_USER, software\microsoft\windows\currentversion\internet settings\zonemap, uncasintranet = "00000001" (все адреса URL, представляющие сетевой путь, будут относиться к зоне интрасети).

[B]Сетевая активность:[/B]
Выполняет подключение на 37.1.198.131 (Германия) по 80 порту.

[b]Techno[/b], Спасибо за работу. М.б. и эта полезная тема оживет.

[b][COLOR="#FF0000"]Алиасы(Backdoor.Win32.Shiz.fxst):[/COLOR][/b]
Win32:Malware-gen (Avast)
Gen:Variant.Kazy.91307 (BitDefender)
Trojan.PWS.Ibank.456 (DrWeb)
a variant of Win32/Kryptik.ALNB (NOD32)
Trojan.Jorik.Buterat.gak (VBA32)
[url]https://www.virustotal.com/file/814840494a7aba71263eaeae40860081af6421ad2efd9761c13bce35f9984377/analysis/1347464720/[/url]

[b][COLOR="#FF0000"]Встречен в темах:[/COLOR][/b]
[thread]124333[/thread]
[thread]124374[/thread]
[thread]124231[/thread]
[thread]124249[/thread]
[thread]124243[/thread]


[b][COLOR="#FF0000"]Описание:[/COLOR][/b]
[b]Файлы на диске:[/b]
[COLOR="#FF0000"]%Windir%\AppPatch\<random>.exe[/COLOR]
%Temp%\<random>.tmp

[b]Способ запуска:[/b]
Ключи реестра:
HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, userinit = "%Windir%\AppPatch\<random>.exe"
HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit = "%Windir%\AppPatch\<random>.exe"
HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, System = "%Windir%\AppPatch\<random>.exe"
HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Windows, Run = "%Windir%\AppPatch\<random>.exe"
HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Windows, Load = "%Windir%\AppPatch\<random>.exe"
Файл win.ini:
windows, load
windows, run

[b]Дополнительно:[/b]
Работает в фоновом режиме и позволяет осуществлять удаленный доступ к зараженной системе

[b][COLOR="#FF0000"]Алиасы(Trojan-Spy.Win32.Carberp.pky):[/COLOR][/b]
PSW.Generic10.JFA (AVG)
Win32:Carberp-AIL [Trj] (Avast)
Trojan.Generic.KDV.698074 (BitDefender)
Trojan.Carberp.647 (DrWeb)
Trojan-Spy.Win32.Carberp!IK (Emsisoft)
Win32/TrojanDownloader.Carberp.AF (NOD32)
Trojan.Gen (Symantec)
[url]https://www.virustotal.com/file/f50c0428ed73d424719e874871f46a4d79bc54e4b3fdc68b0f9bd3d57bded5c2/analysis/[/url]

[b][COLOR="#FF0000"]Встречен в темах:[/COLOR][/b]
[thread]124627[/thread]
[thread]123855[/thread]
[thread]123610[/thread]


[b][COLOR="#FF0000"]Описание:[/COLOR][/b]
[b]Файлы на диске:[/b]
[COLOR="#FF0000"]%папка автозагрузки текущего пользователя%\<random>.exe[/COLOR]
%allusersprofile%\<random>\klpclst.dat
%allusersprofile%\<random>\wndsksi.inf
несколько файлов вида: %LocalSettings%\temp\<random>.tmp

[B]Каталоги на диске:[/B]
%CommonAppData%\IBank
%allusersprofile%\<random>

Создает процессы:
%WinDir%\explorer.exe
%WinDir%\system32\svchost.exe

Создает ключ реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5FB17DE5-379C-188F-5FB1-7DE5379C188F}

[b]Способ запуска:[/b]
%папка автозагрузки текущего пользователя%\<random>.exe

[b]Дополнительно:[/b]
Запрашивает имя компьютера
Загружает в свое адресное пространство библиотеки криптографии rsaenh.dll и crypt32.dll

[B]Сетевая активность:[/B]
Выполняет подключение на 93.115.240.2(Румыния), 195.208.1.124(Россия).
Выполняет запрос к DNS на доменные имена:
[CODE]www4.smartadserver.com
ced.sascdn.com
ad.adriver.ru
ar.tns-counter.ru
abibasss223.ru
pipiskaaaa2.ru
jjonnnyh23.ru
www.loktrans.ru[/CODE]

[b][COLOR="#FF0000"]Алиасы(Backdoor.Win32.Buterat.dpiv):[/COLOR][/b]
BackDoor.Generic16.DD (AVG)
Win32:Trojan-gen (Avast)
Gen:Variant.Zusy.22589 (BitDefender)
BackDoor.Butirat.201 (DrWeb)
Gen:Trojan.Heur.RP.hyW@a8TclNgk (B) (Emsisoft)
a variant of Win32/Injector.XVR (NOD32)
WS.Reputation.1 (Symantec)
[url]https://www.virustotal.com/file/3b6305bb2bd66109bd3943e4e96ad0287f804e9a9d68a0043fc4f27bb1d3cf48/analysis/1353178211/[/url]

[b][COLOR="#FF0000"]Встречен в темах:[/COLOR][/b]
[thread]127135[/thread]
[thread]126785[/thread]
[thread]126427[/thread]


[b][COLOR="#FF0000"]Описание:[/COLOR][/b]
[b]Файлы на диске:[/b]
[COLOR="#FF0000"]%USERPROFILE%\Application Data\Microsoft\taskhost.exe[/COLOR]
или
[COLOR="#FF0000"]%USERPROFILE%\Application Data\lsass.exe[/COLOR]

%USERPROFILE%\Application Data\Microsoft\txt.exe ([B]Trojan.Win32.Buzus[/B] [Kaspersky])
%USERPROFILE%\Application Data\Microsoft\System.log
%USERPROFILE%\Cookies\cf
%USERPROFILE%\Cookies\index.dat
%USERPROFILE%\Local Settings\History\History.IE5\index.dat
%USERPROFILE%\Local Settings\Temporary Internet Files\Content.IE5\<random>.html
%USERPROFILE%\Local Settings\Temporary Internet Files\Content.IE5\index.dat
%USERPROFILE%\Мои документы\AddIterra\<random>.dll
%USERPROFILE%\Мои документы\AddIterra\<random>.reg
%USERPROFILE%\Мои документы\Iterra\<random>.tmp
%USERPROFILE%\Мои документы\Iterra\<random>.reg

[B]Каталоги на диске:[/B]
%USERPROFILE%\Мои документы\AddIterra
%USERPROFILE%\Мои документы\Iterra


[B]Создает ключ реестра:[/B]
HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs = %USERPROFILE%\Мои документы\AddIterra\<random>.dll

[b]Способ запуска:[/b]
HKEY_CURRENT_USER\current\software\Microsoft\Windows\CurrentVersion\Run\Taskhost = %USERPROFILE%\Application Data\Microsoft\taskhost.exe
или
HKEY_CURRENT_USER\current\software\Microsoft\Windows\CurrentVersion\Run\Taskhost = %USERPROFILE%\Application Data\lsass.exe


[b]Дополнительно:[/b]
Запрашивает имя компьютера
Запрашивает имя пользователя
Запускает службу удаленного доступа RASMAN
Запускает службу уведомления о системных событиях SENS

[B]Сетевая активность:[/B]
[CODE]ulotrol.net
getcomdes.com
getinball.com
debijonda.com
veroconma.com
theloamva.com
vornedix.com
dentagod.com
liteworns.com
vengibit.com
tryangets.com
getintsu.com
detoxist.com
veroconma.com
94.250.248.53
37.230.112.104
91.220.35.154
http://ulotrol.net/941/85.html
http://ulotrol.net/213/84.html
http://ulotrol.net/816/904.html
http://ulotrol.net/469/897.html
http://37.230.112.104/544/776.html
http://ulotrol.net/413/135.html[/CODE]

[b][COLOR="#FF0000"]Алиасы(Trojan-Spy.Win32.Zbot.jmfj):[/COLOR][/b]
Dropper.Generic7.CAXS (AVG)
Win32:Vundo-AAV [Trj] (Avast)
Gen:Trojan.Heur.JP.huW@aSrUvNik (BitDefender)
Trojan.Carberp.647 (DrWeb)
Trojan-Spy.Win32.Carberp!IK (Emsisoft)
Win32/TrojanDownloader.Carberp.AF (NOD32)
Trojan.Gen (Symantec)
[url]https://www.virustotal.com/ru/file/d841384f8733ab244f8284a4e0de7c04c430fdb1534b1d5e50deef1b84b6e3d7/analysis/1362901110/[/url]

[b][COLOR="#FF0000"]Встречен в темах:[/COLOR][/b]
[thread]134555[/thread]


[b][COLOR="#FF0000"]Описание:[/COLOR][/b]
[b]Файлы на диске:[/b]
[COLOR="#FF0000"]<папка запуска>\<random.exe>[/COLOR] (например, [B]%Userprofile%\AppData\Local\Temp\7smbeohv.exe[/B])
<папка запуска>\<???.exe> , где ? - цифра (Kaspersky: UDS: DangerousObject.Multi.Generic)

[b]Способ запуска:[/b]
Создает задание [B]%windir%\tasks\<random.job>[/B], которое каждые 10 минут запускает файл [COLOR="#FF0000"]<папка запуска>\<random.exe>[/COLOR] (например, [B]%Userprofile%\AppData\Local\Temp\7smbeohv.exe[/B])


[B]Сетевая активность:[/B]
[CODE]* Connects to "64.62.191.222" on port 80.
Connects to "127.0.0.1" on port 1037.
Connects to "64.62.191.222" on port 4321.
Connects to "5.61.32.83" on port 80 (TCP - HTTP).
Connects to "5.61.42.100" on port 80 (TCP - HTTP).
* Opens next URLs:
http://bvq7jz2rk.kifspa.net/542/90.html
http://bvq7jz2rk.kifspa.net/386/71.html
http://bvq7jz2rk.kifspa.net/7/885.html
http://bvq7jz2rk.kifspa.net/22/303.html
http://bvq7jz2rk.kifspa.net/708/244.html
http://xudywufas.smaram.info/71/142.html
http://bvq7jz2rk.kifspa.net/796/601.html
[/CODE]

[B][COLOR="#FF0000"]Запускает созданный файл <папка запуска>\<???.exe>[/COLOR][/B]

[B]Дальше то, что делает файл <папка запуска>\<???.exe>[/B]

[B]Каталоги на диске:[/B]
%Program Files%\<папка>\<папка> (например, [I]%Program Files%\suda nana stavit etot soft\111 222 333 444 555[/I], [I]%Program Files%\i pomoch drudu csegda gotov\eslib iz zadnitsi sipalis dengi[/I])

[b]Файлы на диске[/b] ([I]имена файлов и их содержание могут быть другими!!![/I]):
%Program Files%\<папка>\<папка>\Elephantsarelargemammals.bat
[spoiler]
убрал
[/spoiler]
%Program Files%\<папка>\<папка>elephanttalk.lyrics
%Program Files%\<папка>\<папка>elephanttalk.vbs
[spoiler]
убрал
[/spoiler]
%Program Files%\<папка>\<папка>LearnallyouwantedtoknowaboutAfrican.elephants
%Program Files%\<папка>\<папка>LearnallyouwantedtoknowaboutAfrican.vbs
[spoiler]
убрал
[/spoiler]
%Program Files%\<папка>\<папка>most complete version at.Patara
%Program Files%\<папка>\<папка>ofthefamilyElephantidaeandtheorder.proboscidea
%Program Files%\<папка>\<папка>Uninstall.exe
%Program Files%\<папка>\<папка>Uninstall.ini
%userprofile%\Cookies\index.dat
%userprofile%\Local Settings\History\History.IE5\index.dat
%userprofile%\Local Settings\Temporary Internet Files\Content.IE5\index.dat

[B]Файл hosts:[/B]
добавляет строки:
[CODE]69.197.136.118 my.mail.ru
69.197.136.118 m.my.mail.ru
69.197.136.118 vk.com
69.197.136.118 ok.ru
69.197.136.118 m.vk.com
69.197.136.118 odnoklassniki.ru
69.197.136.118 vk.com
69.197.136.118 [url]www.odnoklassniki.ru[/url]
69.197.136.118 m.odnoklassniki.ru
69.197.136.118 ok.ru
69.197.136.118 m.ok.ru
69.197.136.118 [url]www.odnoklassniki.ru[/url][/CODE]

Создает пустой файл [I]%windir%\system32\drivers\etc\h[COLOR="#FF0000"]о[/COLOR]sts[/I], [COLOR="#FF0000"]о[/COLOR]-русская

[b]Дополнительно:[/b]
Запрашивает имя компьютера
Запрашивает имя пользователя
Запускает службу удаленного доступа RASMAN
Запускает службу уведомления о системных событиях SENS

[B]Сетевая активность:[/B]
[CODE]* Connects to "64.62.191.222" on port 80.
Connects to "127.0.0.1" on port 1037.
Connects to "64.62.191.222" on port 4321.
[/CODE]

[b]Techno[/b], на куски кода может быть детект. Аваст например материться на эту страницу. ИМХО, лучше убрать, чтобы у юзеров не возникало вопросов и проблем.

[b]Olejah[/b], На эту страницу ругается, а с детектом этого типа троянов проблемы. :hmm: