Актуальные зловреды

Printable View

Показывать 40 сообщений этой темы на одной странице

06.03.2008, 23:49
AndreyKa

Worm.Win32.Feebs.nj

[b]Алиасы[/b]
Mal/EncPk-BW (Sophos)
Proxy.DRI (Prevx1)
VirTool:Win32/Obfuscator.C (Microsoft)
W32/Feebs.dr (McAfee)
W32/Feebs.LO.worm (Panda)
W32/Feebs.nj (TheHacker)
W32.Feebs@mm (Symantec)
W32/Smalltroj.CTKS (Norman)
Win-Trojan/Agent.45324 (AhnLab-V3)
Win32.HLLM.Graz (DrWeb)
Win32.Worm.Feebs.NN (BitDefender)
Win32/Mocalo.EU (NOD32v2)
Worm.Feebs.nj (CAT-QuickHeal)
Worm/Feebs.JS (AVG)
Win32/VMalum.BWGJ (eTrust-Vet)
Worm.Feebs-88 (ClamAV)

[b]Описание[/b]
Почтовый червь из этого семейства: [url=http://www.viruslist.com/ru/viruses/encyclopedia?virusid=107701]Worm.Win32.Feebs.h[/url]

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18041[/url]
[url]http://virusinfo.info/showthread.php?t=18340[/url]
[url]http://virusinfo.info/showthread.php?t=18832[/url]

[b]Файлы на диске[/b]
dll И exe файл в системной папке со случайным именем начинающимся на ms, например:
c:\windows\system32\mspe.exe
c:\windows\system32\msuq32.dll

[b]Способ запуска[/b]
1. [b]Active Setup[/b]
Файл: c:\windows\system32\ms??.exe
CLSID случайный
2. Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad,
Файл: ms????.dll

[b]Внешние проявления [/b](со слов пользователей)
"слетел" установленный DrWeb, при попытке запустить установку инсталлятор закрывается.
При попытке запуска AVZ - его окно появляется и тут же исчезает.
09.03.2008, 22:55
AndreyKa

Trojan-Downloader.Win32.Agent.kif и Trojan-Downloader.Win32.Agent.ldb

[b]Алиасы[/b]
Cutwail.dll (McAfee)
Downloader.Agent.ADET (AVG)
TR/Dldr.Agent.kif.9 (AntiVir)
Trojan.Pandex (Symantec)
Trojan.Win32.Undef.dqm (Rising)
Trojan/Downloader.Agent.kif (TheHacker)
TrojanDownloader.Agent.kif (CAT-QuickHeal)
TrojanDropper:Win32/Cutwail.Y (Microsoft)
W32/Agent.KIF!tr.dldr (Fortinet)
Win-Trojan/OnlineGameHack.11776.R (AhnLab-V3)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=19097[/url]
[url]http://virusinfo.info/showthread.php?t=19121[/url]
[url]http://virusinfo.info/showthread.php?t=19189[/url]
[url]http://virusinfo.info/showthread.php?t=19204[/url]
[url]http://virusinfo.info/showthread.php?t=19223[/url]
[url]http://virusinfo.info/showthread.php?t=19253[/url]
[url]http://virusinfo.info/showthread.php?t=19295[/url]
[url]http://virusinfo.info/showthread.php?t=19474[/url]
[url]http://virusinfo.info/showthread.php?t=19849[/url]
[url]http://virusinfo.info/showthread.php?t=20020[/url]
[url]http://virusinfo.info/showthread.php?t=20030[/url]
[url]http://virusinfo.info/showthread.php?t=20091[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\WLCtrl32.dll
11776 байт

[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32, DLLName
WLCtrl32.dll

Отличия [b]Trojan-Downloader.Win32.Agent.ldb
Алиасы[/b]
Downloader.Agent.ADJW (AVG)
TR/Dldr.Agent.ldb.12 (AntiVir)
Trojan.DL.Win32.Paiman.a (Rising)
Trojan.Dldr.Agent.ldb.12 (Webwasher-Gateway)
Trojan.DownLoader.50037 (DrWeb)
Trojan.DR.Pandex.Gen.4 (VirusBuster)
Trojan/Downloader.Agent.ldb (TheHacker)
TrojanDownloader.Agent.ldb (CAT-QuickHeal)
TrojanDropper:Win32/Cutwail.Y (Microsoft)
W32/Agent.dam (Norman)
W32/Agent.LDB!tr.dldr (Fortinet)
Win32/Wigon.BA (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/8caac1bed7492331da3d2ba667afdea1[/url]

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=19006[/url]
[url]http://virusinfo.info/showthread.php?t=19726[/url]
[url]http://virusinfo.info/showthread.php?t=19776[/url]
[url]http://virusinfo.info/showthread.php?t=19786[/url]
[url]http://virusinfo.info/showthread.php?t=19817[/url]
[url]http://virusinfo.info/showthread.php?t=19858[/url]
[url]http://virusinfo.info/showthread.php?t=19910[/url]
10.03.2008, 18:29
AndreyKa

Trojan-Spy.Win32.Agent.bll

[b]Алиасы[/b]
a variant of Win32/Spy.Agent.NFB (NOD32v2)
Mal/Proxy-B (Sophos)
PSW.Generic5.ALAY (AVG)
Spammer:Win32/Newacc.A (Microsoft)
TR/Agent.39936.31 (AntiVir)
Trojan-Spy.Win32.Agent.bll (Kaspersky)
Trojan.Agent.39 (CAT-QuickHeal)
Trojan.Hotreg (DrWeb)
Trojan.Win32.Undef.dpc (Rising)
Trojan/Spy.Agent.bll (TheHacker)
W32/Agent.EKVA (Norman)
Win32/VMalum.BXRS (eTrust-Vet)

[b]Описание[/b]
Пытается войти на сайт [url]http://login.live.com/[/url]
Обращается к сайту [url]http://www.google.com/[/url]

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=19097[/url]
[url]http://virusinfo.info/showthread.php?t=19189[/url]
[url]http://virusinfo.info/showthread.php?t=19295[/url]
[url]http://virusinfo.info/showthread.php?t=19474[/url]

[b]Файлы на диске[/b]
Файл со случайным именем bn?.tmp в папке c:\windows\temp
Например, c:\windows\temp\bna.tmp
39936 байт
10.03.2008, 21:02
AndreyKa

Trojan-PSW.Win32.OnLineGames.ryg, Trojan-PSW.Win32.OnLineGames.tya, Trojan-PSW.Win32.OnLineGames.rin

[b]Алиасы[/b]
PSW.OnlineGames.AFDW (AVG)
PWS-LegMir.gen.k (McAfee)
Trojan.MulDrop.6474 (DrWeb)
Trojan.PSW.Win32.GameOLSys.gp (Rising)
Trojan.PWS.OnlineGames.QZU (BitDefender)
Trojan/PSW.OnLineGames.ryg (TheHacker)
VirTool:Win32/Obfuscator.T (Microsoft)
W32.Gammima.AG (Symantec)
W32/Lineage.HPX.worm (Panda)
W32/OnLineGames.RYG!tr.pws (Fortinet)
W32/Smalltroj.CXLD (Norman)
Win32/Frethog.ALU (eTrust-Vet)
Win32/PSW.OnLineGames.NMT (NOD32v2)
[b]amvo0.dll[/b]
PSW.OnlineGames.AFDX (AVG)
PWS-LegMir.gen.k.dll (McAfee)
Trj/Lineage.HQA (Panda)
Trojan.PSW.Win32.GameOLSys.gp (Rising)
Trojan.PWS.OnlineGames.QZU (BitDefender)
Trojan.PWS.Wsgame.3434 (DrWeb)
TrojanPSW.OnLineGames.ryg (CAT-QuickHeal)
W32/OnLineGames.ALCY (Norman)
W32/PWS!be7d (F-Prot)

[b]Описание[/b]
Червь распространяющийся копированием самого себя на сменные носители. Похищает пароли к различным интернет-играм.

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18758[/url]
[url]http://virusinfo.info/showthread.php?t=18853[/url]
[url]http://virusinfo.info/showthread.php?t=19048[/url]
[url]http://virusinfo.info/showthread.php?t=19092[/url]
[url]http://virusinfo.info/showthread.php?t=19149[/url]
[url]http://virusinfo.info/showthread.php?t=19350[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo1.dll
autorun.inf и u2.cmd - на всех дисках в корневой папке

[b]Способ запуска[/b]
1. Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.

Отличия [b]Trojan-PSW.Win32.OnLineGames.tya[/b]
[b]Алиасы[/b]
Trj/Lineage.HUC (Panda)
Trojan.PWS.OnlineGames.SQS (BitDefender)
TrojanPSW.OnLineGames.tya (CAT-QuickHeal)
Win32/PSW.OnLineGames.NMP (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/d44cba69aa5ddaf41c53e81c52d22d2a[/url]

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=19579[/url]
[url]http://virusinfo.info/showthread.php?t=19608[/url]
[url]http://virusinfo.info/showthread.php?t=19648[/url]
[url]http://virusinfo.info/showthread.php?t=19715[/url]
[url]http://virusinfo.info/showthread.php?t=19799[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
72192 байт

Отличия [b]Trojan-PSW.Win32.OnLineGames.rin[/b]
[b]Алиасы[/b]
Infostealer.Gampass (Symantec)
Trj/Lineage.HNG (Panda)
Trojan.PSW.Win32.GameOLSys.en (Rising)
Trojan.PWS.Wsgame.2387 (DrWeb)
TrojanPSW.OnLineGames.rin (CAT-QuickHeal)
VB.BHZ (Prevx1)
W32/NSAnti.GLV (Norman)
W32/Onlinegames.AZG (F-Prot)
W32/OnLineGamesEncPK.fam!tr.pws (Fortinet)
Win32: Onlinegames-CAZ (Avast)
Win32/PSW.OnLineGames.NLK (NOD32v2)
Worm:Win32/Taterf.D (Microsoft)
[url]http://www.virustotal.com/ru/analisis/22c8b552ffe5fa199c12560ea3912c1f[/url]

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=15961[/url]
[url]http://virusinfo.info/showthread.php?t=18270[/url]
[url]http://virusinfo.info/showthread.php?t=18810[/url]
[url]http://virusinfo.info/showthread.php?t=19141[/url]
[url]http://virusinfo.info/showthread.php?t=19962[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
54784 байт
12.03.2008, 22:11
AndreyKa

Trojan.Win32.Agent.fiw

[b]Алиасы[/b]
Agent.OSL (AVG)
TR/Agent.fiw (AntiVir)
Trj/Spammer.AGG (Panda)
Trojan.Agent.AGZD (BitDefender)
Trojan.Agent.fiw (CAT-QuickHeal)
W32/Agent.FIW!tr (Fortinet)
W32/Trojan2.VJU (F-Prot)

[b]Описание[/b]
Модуль пространства ядра.
Имеет возможности отправки сообщений электронной почты.

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18863[/url]
[url]http://virusinfo.info/showthread.php?t=18986[/url]
[url]http://virusinfo.info/showthread.php?t=19407[/url]
[url]http://virusinfo.info/showthread.php?t=19690[/url]
[url]http://virusinfo.info/showthread.php?t=20168[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\powermgmt.sys
46592 байт

[b]Способ запуска[/b]
Драйвер: AdvPowerMgmt
Описание: Advanced Power Management
Файл: C:\WINDOWS\system32\powermgmt.sys
12.03.2008, 23:03
AndreyKa

Trojan-Downloader.Win32.Agent.kvg, Trojan-Downloader.Win32.Agent.luo

[b]Алиасы[/b]
Downloader.Agent.ADGB (AVG)
TR/Dldr.Agent.kvg.5 (AntiVir)
Trojan.Dldr.Agent.kvg.5 (Webwasher-Gateway)
Trojan.DownLoader.50037 (DrWeb)
Trojan.DR.Pandex.Gen.4 (VirusBuster)
Trojan.Pandex.AH (BitDefender)
Trojan.Win32.Undef.dvc (Rising)
TrojanDownloader.Agent.kvg (CAT-QuickHeal)
TrojanDropper:Win32/Cutwail.Y (Microsoft)
W32/Agent.KVG!tr.dldr (Fortinet)
Win-Trojan/Downloader.11776.FQ (AhnLab-V3)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=19393[/url]
[url]http://virusinfo.info/showthread.php?t=19405[/url]
[url]http://virusinfo.info/showthread.php?t=19408[/url]
[url]http://virusinfo.info/showthread.php?t=19438[/url]
[url]http://virusinfo.info/showthread.php?t=19488[/url]
[url]http://virusinfo.info/showthread.php?t=19492[/url]
[url]http://virusinfo.info/showthread.php?t=19578[/url]
[url]http://virusinfo.info/showthread.php?t=19584[/url]
[url]http://virusinfo.info/showthread.php?t=19602[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\WLCtrl32.dll
11776 байт

[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32, DLLName
WLCtrl32.dll

[b]Внешние проявления [/b](со слов пользователей)
Большой интернет-трафик.

[b]Отличия Trojan-Downloader.Win32.Agent.luo
Алиасы[/b]
Downloader.Agent.ADQQ (AVG)
TR/Dldr.Agent.luo.8 (AntiVir)
Trojan.Dldr.Agent.luo.8 (Webwasher-Gateway)
Trojan.DR.Pandex.Gen.4 (VirusBuster)
Trojan.Dropper.Cutwail.B (BitDefender)
TrojanDropper:Win32/Cutwail.Y (Microsoft)
[url]http://www.virustotal.com/ru/analisis/7e6267477ec43fc82c0f67cac71e8fe3[/url]

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=20200[/url]
[url]http://virusinfo.info/showthread.php?t=20202[/url]
[url]http://virusinfo.info/showthread.php?t=20230[/url]
[url]http://virusinfo.info/showthread.php?t=20246[/url]
[url]http://virusinfo.info/showthread.php?t=20247[/url]
[url]http://virusinfo.info/showthread.php?t=20263[/url]
[url]http://virusinfo.info/showthread.php?t=20275[/url]
[url]http://virusinfo.info/showthread.php?t=20276[/url]
[url]http://virusinfo.info/showthread.php?t=20343[/url]
[url]http://virusinfo.info/showthread.php?t=20457[/url]
13.03.2008, 00:42
AndreyKa

Trojan-Downloader.Win32.Small.ipy

[b]Алиасы[/b]
SHeur.AVLX (AVG)
TR/Dldr.Small.ipy.1 (AntiVir)
Trj/Downloader.SVU (Panda)
Troj/Agent-GNA (Sophos)
Trojan.Dldr.Small.ipy.1 (Webwasher-Gateway)
Trojan.DownLoader.49367 (DrWeb)
Trojan.Downloader.Small.AAKR (BitDefender)
Trojan.Win32.Undef.dls (Rising)
Trojan.Zlob.GLG (VirusBuster)
Trojan/Downloader.Small.ipy (TheHacker)
TrojanDownloader.Small.ipy (CAT-QuickHeal)
W32/DLoader.FQPL (Norman)
Win-Trojan/Downloader.47000 (AhnLab-V3)
Win32:Small-JMK (Avast)
Win32/Ruternam.B (eTrust-Vet)
Win32/TrojanDownloader.Agent.NVX (NOD32v2)

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18842[/url]
[url]http://virusinfo.info/showthread.php?t=19035[/url]
[url]http://virusinfo.info/showthread.php?t=19417[/url]
[url]http://virusinfo.info/showthread.php?t=19557[/url]

[b]Файлы на диске[/b]
%UserProfile%\local settings\application data\cftmon.exe
C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
c:\windows\system32\drivers\spools.exe
c:\windows\system32\ftpdll.dll - Trojan-Downloader.Win32.Small.hwc
Возможно наличие autorun.exe в корне сменного диска.

[b]Способ запуска[/b]
1) Служба: Schedule
Описание: Планировщик заданий
C:\WINDOWS\system32\drivers\spool.exe
Группа: SchedulerGroup
2) Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, autoload
C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
15.03.2008, 12:44
AndreyKa

Trojan.Win32.DNSChanger.apn

[b]Алиасы[/b]
BackDoor.Mbot (DrWeb)
DNSChanger.G (AVG)
Trojan:Win32/Alureon.gen!D (Microsoft)
Trojan.DNSChanger-3010 (ClamAV)
Trojan.DNSChanger.Gen!Pac.13 (VirusBuster)
Trojan.DNSChanger.RP (BitDefender)
Trojan.Packed.7 (Symantec)
W32/DNSChanger.AFEN (Norman)
W32/DNSChanger.APN!tr (Fortinet)
W32/Trojan2.ADFA (F-Prot)
Win32.Trojan.DNSChanger.apn (CAT-QuickHeal)
Win32.TrojanDownloader.Zlob.BMQ (NOD32v2)

[b]Описание[/b]
Внедряет свой код в другие процессы, в списке выполняемых отсутствует.
Блокирует доступ к своему файлу:
[quote=лог AVZ]Прямое чтение C:\WINDOWS\system32\kdrpy.exe
[/quote]
Внесен в базы 10 января.

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18638[/url]
[url]http://virusinfo.info/showthread.php?t=19006[/url]
[url]http://virusinfo.info/showthread.php?t=19417[/url]
[url]http://virusinfo.info/showthread.php?t=19469[/url]
[url]http://virusinfo.info/showthread.php?t=19530[/url]
[url]http://virusinfo.info/showthread.php?t=19945[/url]
[url]http://virusinfo.info/showthread.php?t=20037[/url]
[url]http://virusinfo.info/showthread.php?t=20113[/url]
[url]http://virusinfo.info/showthread.php?t=20796[/url]

[b]Файлы на диске[/b]
В папке C:\WINDOWS\system32 exe файл со случайным именем, начинающемся с kd, например:
C:\WINDOWS\system32\kdiwc.exe
C:\WINDOWS\system32\kdzko.exe

[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, System
kd???.exe

[b]Внешние проявления [/b](со слов пользователей)
Со страниц поисковиков и из адресной строки перенаправляет на другие сайты.
15.03.2008, 14:04
AndreyKa

Trojan-Downloader.Win32.Small.hyi

[b]Алиасы[/b]
DeepScan:Generic.Malware.SYddld!!.62250B64 (BitDefender)
Downloader.Generic6.AFSF (AVG)
TR/Dldr.Small.hyi (AntiVir)
Trojan.DL.Small.ADKD (VirusBuster)
Trojan.Dldr.Small.hyi (Webwasher-Gateway)
Trojan.Downloader-22662 (ClamAV)
Trojan.DownLoader.45364 (DrWeb)
Trojan/Downloader.Small.hyi (TheHacker)
TrojanDownloader.Small.hyi (CAT-QuickHeal)
W32/DLoader.FKTQ (Norman)
W32/Downldr2.AZOS (F-Prot)
W32/Small.HYI!tr.dldr (Fortinet)
Win-Trojan/Downloader.5632.FZ (AhnLab-V3)

[b]Описание[/b]
Прописывает себя в автозапуск.
Вносит себя как имеющее доступ приложение в настройки Брандмауэра Windows.
Отключает режим автономной работы в Internet Explorer.
Пытается загрузить файлы с сайта [b]sbapodremer.biz[/b] (в нестоящее время не доступен).
Добавлен в базы 27 января.

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17033[/url]
[url]http://virusinfo.info/showthread.php?t=17034[/url]
[url]http://virusinfo.info/showthread.php?t=18854[/url]
[url]http://virusinfo.info/showthread.php?t=19545[/url]

[b]Файлы на диске[/b]
exe файл во временной папке со случайным именем, начинающемся с win, например:
c:\temp\wincpkwg.exe
c:\docume~1\admini~1\locals~1\temp\winlxrn.exe
5632 байт

[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, IpSec
%Temp%\win*.exe
%Temp% - временная папка.
* - несколько латинских букв.
15.03.2008, 15:58
AndreyKa

FraudTool.Win32.UltimateDefender.cm

[b]Алиасы[/b]
Adware.UltimateX-89 (ClamAV)
Aplicacion/UltimateDefender.cm (TheHacker)
BackDoor.Ntrootkit.X (AVG)
FakeAlert-C.dr (McAfee)
FraudTool.UltimateDefender.cm (CAT-QuickHeal)
Rootkit/Nurech.BC (Panda)
TR/Agent.34304.19 (AntiVir)
Trojan.Agent.34304.19 (Webwasher-Gateway)
Trojan.Fakealert.458 (DrWeb)
VirTool:WinNT/Xantvi.A (Microsoft)
Win32:Agent-QNI (Avast)
Win32/Eldycow!generic (eTrust-Vet)
[url]http://www.virustotal.com/ru/analisis/463f98d8df3844ad692f97aec641caaa[/url]

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=19388[/url]
[url]http://virusinfo.info/showthread.php?t=19389[/url]
[url]http://virusinfo.info/showthread.php?t=19435[/url]
[url]http://virusinfo.info/showthread.php?t=19551[/url]
[url]http://virusinfo.info/showthread.php?t=20023[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\System32\Drivers\Beep.SYS

[b]Способ запуска[/b]
Подменяет собой системный драйвер с таким же именем и запускается вместо него.

[b]Внешние проявления [/b](со слов пользователей)
Блокирует запуск avz, hijackthis и др. антивирусных программ, но это решаемо сменой имени файлов.
15.03.2008, 16:19
Зайцев Олег

[quote=AndreyKa;202357][B]Алиасы[/B]
Adware.UltimateX-89 (ClamAV)
Aplicacion/UltimateDefender.cm (TheHacker)
BackDoor.Ntrootkit.X (AVG)
FakeAlert-C.dr (McAfee)
FraudTool.UltimateDefender.cm (CAT-QuickHeal)
Rootkit/Nurech.BC (Panda)
TR/Agent.34304.19 (AntiVir)
Trojan.Agent.34304.19 (Webwasher-Gateway)
Trojan.Fakealert.458 (DrWeb)
VirTool:WinNT/Xantvi.A (Microsoft)
Win32:Agent-QNI (Avast)
Win32/Eldycow!generic (eTrust-Vet)
[URL]http://www.virustotal.com/ru/analisis/463f98d8df3844ad692f97aec641caaa[/URL]

[B]Встречен в темах[/B]
[URL]http://virusinfo.info/showthread.php?t=19388[/URL]
[URL]http://virusinfo.info/showthread.php?t=19389[/URL]
[URL]http://virusinfo.info/showthread.php?t=19435[/URL]
[URL]http://virusinfo.info/showthread.php?t=19551[/URL]

[B]Файлы на диске[/B]
C:\WINDOWS\System32\Drivers\Beep.SYS

[B]Способ запуска[/B]
Подменяет собой системный драйвер с таким же именем и запускается вместо него.

[B]Внешние проявления [/B](со слов пользователей)
Блокирует запуск avz, hijackthis и др. антивирусных программ, но это решаемо сменой имени файлов.[/quote]
Я пробил данный экспонат по базе анализатора, он был отловлен и изучен 5.03.2008. Он состоит из дроппера, который в случае запуска создает на диске C:\WINDOWS\system32\dllcache\figaro.sys. Затем он копирует figaro.sys поверх существующего C:\WINDOWS\system32\drivers\beep.sys, причем повторяет эту операцию три раза подряд (видимо для надежности, в том числе создавая копию в \dllcache). После этого он создает на диске C:\WINDOWS\system32\braviax.exe, и прописывает его в автозапуск в ключе Windows\CurrentVersion\Run. Затем он запрашивает системную привилегию SeShutdownPrivilege и при помощи системной функции ExitWindowsEx завершает работу системы. Далее он создает файл с именем delself.bat для самоуничтожение, запускает его и завершает работу (предполагается, что завершение работы потребует несколько секунд и BAT файл успеет отработать и стереть дроппер).
Анализатору известно 10 разновидностей данного зловреда, размер варьируется от 58 до 65 кб, дата первого обнаружения ITW 4.03.2008. Дропнутый файл BEEP.SYS имеет размер около 35 кб, отвечает за противодействие антивирусам и антивирусным утилитам. Блокировка по именам, в коде драйвера открытым текстом содержится база с именами файлов (в частности, он блокирует AVP, AVZ, GMER, GureIT, AVG ...).
15.03.2008, 18:13
AndreyKa

Trojan.Win32.Dialer.yz

[b]Алиасы[/b]
BackDoor-CVT (McAfee)
Dialer-2137 (ClamAV)
Dialer.RME (AVG)
Troj/Nebule-Gen (Sophos)
Trojan:Win32/Adialer.OP (Microsoft)
Trojan.Dialer.yz (Ewido)
Trojan.Mezzia.91 (DrWeb)
Trojan.Mezzia.Gen (BitDefender)
Trojan.Nebuler (Symantec)
Trojan.Win32.Dialer.yz (VBA32)
Trojan/Dialer.yz (TheHacker)
W32/Nebule.YZ!tr (Fortinet)
W32/Smalldoor.dam (Norman)
W32/Trojan2.ABSU (F-Prot)
[url]http://www.virustotal.com/ru/analisis/a8734056acd2d6edf06d8ba4bcf7c7fb[/url]

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=17317[/url]
[url]http://virusinfo.info/showthread.php?t=18295[/url]
[url]http://virusinfo.info/showthread.php?t=18962[/url]
[url]http://virusinfo.info/showthread.php?t=19551[/url]
[url]http://virusinfo.info/showthread.php?t=20569[/url]
[url]http://virusinfo.info/showthread.php?t=20881[/url]
[url]http://virusinfo.info/showthread.php?t=21581[/url]

[b]Файлы на диске[/b]
dll файл в папке \WINDOWS\SYSTEM32 со случайным именем, начинающимся с win и оканчивающимся на "32", например:
\WINDOWS\SYSTEM32\winpdc32.dll
\WINDOWS\system32\winpez32.dll

[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\[i]_имя_файла_[/i], DLLName
16.03.2008, 12:52
AndreyKa

Backdoor.Win32.Small.cyb

[b]Алиасы[/b]
Backdoor.Small.CIG (BitDefender)
Backdoor.Small.cyb (CAT-QuickHeal)
Proxy.YRL (AVG)
Trj/Eldycow.B (Panda)
Troj/FakeVir-AU (Sophos)
Trojan.Perfcoo (Symantec)
Trojan.Proxy.1739 (DrWeb)
Trojan.Win32.Undef.dng (Rising)
TrojanDownloader:Win32/Eldycow.gen!A (Microsoft)
W32/PpcFake.A!tr (Fortinet)
W32/Smalltroj.CXSS (Norman)
Win32.TrojanProxy.Agent.NDN (VBA32)
Win32/Eldycow.AA (eTrust-Vet)
Win32/TrojanProxy.Agent.NDN (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/ee848d975795023b3bd6b21c7269f4fa[/url]

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=19388[/url]
[url]http://virusinfo.info/showthread.php?t=19389[/url]
[url]http://virusinfo.info/showthread.php?t=19551[/url]
[url]http://virusinfo.info/showthread.php?t=19727[/url]
[url]http://virusinfo.info/showthread.php?t=19940[/url]
[url]http://virusinfo.info/showthread.php?t=20023[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\cru629.dat
6144 байт
Устанавливается вместе с такими файлами как
C:\WINDOWS\system32\dllcache\beep.sys
C:\WINDOWS\system32\braviax.exe
C:\WINDOWS\system32\users32.dat

[b]Способ запуска[/b]
C:\WINDOWS\system32\cru629.dat
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
16.03.2008, 13:35
AndreyKa

FraudTool.Win32.Reanimator.a

[b]Алиасы[/b]
Aplicacion/Reanimator.a (TheHacker)
Application/WinReanimator (Panda)
Downloader.Agent.ACAC (AVG)
Downloader.MisleadApp (Symantec)
FraudTool.Reanimator.a (CAT-QuickHeal)
PHISH/FraudTool.Reanimator.A (AntiVir)
SystemDefender:Spyware-a (Prevx1)
Trojan.Fakealert.452 (DrWeb)
W32/DLoader.FRGT (Norman)
W32/Reanimator.A (Fortinet)
Win-AppCare/Reanimator.308712 (AhnLab-V3)
Win32/Adware.WinReanimator (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/a7e9bc89a801713df2eda388f065d50f[/url]

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=19388[/url]
[url]http://virusinfo.info/showthread.php?t=19389[/url]
[url]http://virusinfo.info/showthread.php?t=19727[/url]
[url]http://virusinfo.info/showthread.php?t=19940[/url]
[url]http://virusinfo.info/showthread.php?t=20975[/url]

[b]Файлы на диске[/b]
C:\Program Files\WinReanimator\WinReanimator.exe
C:\Program Files\WinReanimator\WinReanimator.dll
и др.

[b]Способ запуска[/b]
Инсталятор. Устанавливается с сайта :http:www.winreanimator.com путем обмана посетителей, под видом программы, защищающей компьютер от вредоносного ПО.
Регулярно обновляется.
16.03.2008, 19:18
AndreyKa

Backdoor.Win32.Small.cup

[b]Алиасы[/b]
Backdoor:Win32/Small.BA (Microsoft)
BackDoor.Generic9.SWO (AVG)
BackDoor.Kiddy (DrWeb)
Backdoor.Small.clw (Ewido)
Backdoor.Small.cup (CAT-QuickHeal)
BDS/Small.cty (AntiVir)
Trojan.Backdoor.Small.cty (Webwasher-Gateway)
Trojan.Small-5100 (ClamAV)
W32/DLoader.FNIJ (Norman)
Win-Trojan/Backdoor.13312.D (AhnLab-V3)
Win32:Small-CHC (Avast)
[url]http://www.virustotal.com/ru/analisis/027d05566dd44689fcc27716073b08ce[/url]

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18034[/url]
[url]http://virusinfo.info/showthread.php?t=18074[/url]
[url]http://virusinfo.info/showthread.php?t=19786[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\wininet.exe
C:\WINDOWS\system32\svc32_3.exe
13824 байт
Создает файл C:\WINDOWS\system32\svshost.dll - Backdoor.Win32.Small.cvg
16.03.2008, 21:49
Зайцев Олег

FraudTool.Win32.Reanimator.a

[quote=AndreyKa;202664][B]Алиасы[/B]
Aplicacion/Reanimator.a (TheHacker)
Application/WinReanimator (Panda)
Downloader.Agent.ACAC (AVG)
Downloader.MisleadApp (Symantec)
FraudTool.Reanimator.a (CAT-QuickHeal)
PHISH/FraudTool.Reanimator.A (AntiVir)
SystemDefender:Spyware-a (Prevx1)
Trojan.Fakealert.452 (DrWeb)
W32/DLoader.FRGT (Norman)
W32/Reanimator.A (Fortinet)
Win-AppCare/Reanimator.308712 (AhnLab-V3)
Win32/Adware.WinReanimator (NOD32v2)
[URL]http://www.virustotal.com/ru/analisis/a7e9bc89a801713df2eda388f065d50f[/URL]

[B]Встречен в темах[/B]
[URL]http://virusinfo.info/showthread.php?t=19388[/URL]
[URL]http://virusinfo.info/showthread.php?t=19389[/URL]
[URL]http://virusinfo.info/showthread.php?t=19727[/URL]

[B]Файлы на диске[/B]
C:\Program Files\WinReanimator\WinReanimator.exe
C:\Program Files\WinReanimator\WinReanimator.dll
и др.

[B]Способ запуска[/B]
Инсталятор. Устанавливается с сайта :http:www.winreanimator.com путем обмана посетителей под видом программы защищающей компьютер от вредоносного ПО.
Регулярно обновляется.[/quote]
Данный ITW экспонат был изучен анализатором 22.02.2008, небольшое дополнение по его работе:
1. В процессе запуска зловред может выдать окно, якобы сообщение об ошибке (это делается для "отвода глаз" пользователя). Другие варианты выводят окно с прогресс-индикатором, показывающим процесс загрузки и установки
2. Обращается к сайту :http:www.winreanimator.com и загружает с него несколько ZIP архивов
3. Создает папку C:\Program Files\WinReanimator, дропает в нее библиотеку unzip32.dll, загружает ее и применяет для распаковки загруженных архивов. Далее в данной папке создаются файлы WinReanimator.exe WinReanimator.dll pthreadVC2.dll un.ico install.exe htmlayout.dll, папки Microsoft.VC80.CRT (с библиотеками MS msvcm80.dll msvcp80.dll msvcr80.dll) и папка DATA, в которой находится файл, судя по сигнатурам похожий на урезнанную базу от CLAV. install.exe - это копия загрузчика зловреда
4. WinReanimator.exe прописывается в автозапуск
Сам загрузчик написан на Delphi. Размер - 308 кб, на текущий момент известно 8 разновидностей. Созданный им да диске WinReanimator после установки запускается, "сканирует" систему. На эталонной системе Windows XP SP2 он "находит" 28 шпионских объектов, причем показывает в логе имена заведомо несуществующих в системе объектов. Для "лечения" необходимо купить программу ... За счет автозапуска процесс "сканирования" повторяется при каждой загрузке. При закрытии WinReanimator сворачивается в трей. У зловреда как правило есть действующий деинсталлятор
22.03.2008, 13:15
AndreyKa

Trojan-Downloader.Win32.Tibs.vz

[b]Алиасы[/b]
I-Worm/Nuwar.N (AVG)
Storm.Worm (Sunbelt)
Trj/Alanchum.XH (Panda)
Trojan:Win32/Tibs.FS (Microsoft)
Trojan.DownLoader.19256 (DrWeb)
Trojan.Peed-154 (ClamAV)
TROJAN.PEED.AK (Prevx1)
Trojan.Peed.JAL (BitDefender)
Trojan.Tibs.Gen!Pac.G (VirusBuster)
Trojan.Win32.Zhelatin (VBA32)
Trojan/Downloader.Tibs.vz (TheHacker)
W32/Tibs.BNJZ (Norman)
W32/Tibs.L.gen!Eldorado (F-Prot)
Win32.Trojan-Downloader.Tibs.qt.4 (CAT-QuickHeal)
Win32/SillyDl.DZN (eTrust-Vet)
WORM/Zhelatin.Gen (AntiVir)
[url]http://www.virustotal.com/ru/analisis/8bf917fe13b0472c98853fa49e93c067[/url]

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=19250[/url]
[url]http://virusinfo.info/showthread.php?t=19709[/url]
[url]http://virusinfo.info/showthread.php?t=19977[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\wind32.exe
или
C:\WINDOWS\system32\win32.exe
16848 байт

[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, System

[b]Примечание[/b]
Детектируется эвристиком AVZ: Подозрение на Trojan-Downloader.Win32.Tibs.wc
Обращается к сайту bestnums.net
22.03.2008, 21:19
AndreyKa

Trojan-Downloader.Win32.Agent.leu, Trojan-Downloader.Win32.Agent.mkb

[b]Алиасы[/b]
Downloader.Agent.ADKO (AVG)
Spammer:Win32/Newacc.A (Microsoft)
TR/Dldr.Agent.leu.1 (AntiVir)
Trojan.Dldr.Agent.leu.1 (Webwasher-Gateway)
Trojan.DownLoader.50217 (DrWeb)
TrojanDownloader.Agent.leu (CAT-QuickHeal)
W32/Agent.EVGM (Norman)
W32/Agent.LEU!tr.dldr (Fortinet)
Win32/Spy.Agent.NFN (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/56688a275b4e11a467244ea3de753f14[/url]

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=19777[/url]
[url]http://virusinfo.info/showthread.php?t=19849[/url]
[url]http://virusinfo.info/showthread.php?t=19996[/url]
[url]http://virusinfo.info/showthread.php?t=20020[/url]
[url]http://virusinfo.info/showthread.php?t=20030[/url]
[url]http://virusinfo.info/showthread.php?t=20091[/url]

[b]Файлы на диске[/b]
Файлы с расширением [b]tmp[/b] и именем начинающимся с [b]bn[/b] в папке c:\windows\temp, например:
c:\windows\temp\bn3.tmp
c:\windows\temp\bnf.tmp
46080 байт

[b]Способ запуска[/b]
Загружается из Интернета и запускается другой вредоносной программой (предположительно [b]Trojan-Downloader.Win32.Agent.kif[/b]).

[b]Внешние проявления [/b](со слов пользователей)
Запускаются лишние процессы svchost.exe и Internet Explorer.

Отличия [b]Trojan-Downloader.Win32.Agent.mkb
Дополнительные алиасы[/b]
Downloader.Agent.AEWS (AVG)
TR/Dldr.Agent.mkb.5 (AntiVir)
Trojan.Dldr.Agent.mkb.5 (Webwasher-Gateway)
Trojan.DownLoader.56617 (DrWeb)
W32/Agent.FDVK (Norman)
Win-Trojan/Agent.46592.CZ (AhnLab-V3)
Win32/SillyDl.EDE (eTrust-Vet)
[url]http://www.virustotal.com/ru/analisis/e96507cb4a823d799ce042084c3665f1[/url]

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=21013[/url]
[url]http://virusinfo.info/showthread.php?t=21056[/url]
[url]http://virusinfo.info/showthread.php?t=21113[/url]
[url]http://virusinfo.info/showthread.php?t=21129[/url]
[url]http://virusinfo.info/showthread.php?t=21140[/url]
[url]http://virusinfo.info/showthread.php?t=21208[/url]
[url]http://virusinfo.info/showthread.php?t=21648[/url]
[url]http://virusinfo.info/showthread.php?t=21818[/url]
[url]http://virusinfo.info/showthread.php?t=21829[/url]

[b]Файлы на диске[/b]
46592 байт

[b]Способ запуска[/b]
Загружается из Интернета и запускается другой вредоносной программой (одной из семейства Trojan-Downloader.Win32.Mutant).
23.03.2008, 11:22
AndreyKa

Rootkit.Win32.Agent.abe, Trojan.Win32.Srizbi.j

[b]Алиасы[/b]
Agent.2.BT (AVG)
Rootkit.Agent.aaq (Ewido)
Rootkit.Srizbi.Gen (VirusBuster)
Rootkit/Agent.FGN (Panda)
Srizbi.sys (McAfee)
Troj/RKAgen-Fam (Sophos)
Trojan:Win32/Srizbi.gen (Microsoft)
Trojan.Sentinel (DrWeb)
Trojan.Srizbi.a (CAT-QuickHeal)
Trojan.Srizbi.AX (BitDefender)
Trojan.Win32.Undef.czb (Rising)
Trojan/Agent.abe (TheHacker)
W32/Rootkit.AVX (Norman)
W32/Trojan2.UOG (F-Prot)
Win-Trojan/Rootkit.167424 (AhnLab-V3)
Win32:Srizbi (Avast)
[url]http://www.virustotal.com/ru/analisis/c61f5ffed458cfdc479ebff54f43941d#[/url]

[b]Описание[/b]
Рассылает спам, использует методы руткита для сокрытия своего присутствия в системе. Запускается в безопасном режиме загрузки Windows.
Детектируется эвристиком AVZ: [b]Подозрение на Trojan.Win32.Srizbi.j[/b]
Функционирует как модуль пространства ядра. В списке драйверов AVZ отсутствует.

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=18620[/url]
[url]http://virusinfo.info/showthread.php?t=19409[/url]
[url]http://virusinfo.info/showthread.php?t=19821[/url]
[url]http://virusinfo.info/showthread.php?t=20185[/url]
[url]http://virusinfo.info/showthread.php?t=20680[/url]
[url]http://virusinfo.info/showthread.php?t=20690[/url]

[b]Файлы на диске[/b]
Драйвер в папке C:\WINDOWS\system32\Drivers со случайным именем с двумя цифрами на конце, например:
C:\WINDOWS\system32\Drivers\Urbh37.sys
C:\WINDOWS\system32\drivers\grande48.sys
167936 байт

[b]Способ запуска[/b]
Драйвер.

Отличия [b]Trojan.Win32.Srizbi.j
Дополнительные алиасы[/b]
Rootkit/Agent.IGL (Panda)
Trojan.Rootkit-654 (ClamAV)
Trojan.Srizbi.j (Ewido)
W32/RKAgen.J!tr (Fortinet)
Win32.Srizbi.j (eSafe)
Win32/Rootkit.Agent.HU (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/3d6375a2b21e1abe98b335385840a0c5[/url]

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=19858[/url]
[url]http://virusinfo.info/showthread.php?t=20185[/url]
[url]http://virusinfo.info/showthread.php?t=20222[/url]
29.03.2008, 14:12
AndreyKa

Rootkit.Win32.Podnuha.ak и Rootkit.Win32.Podnuha.ay

[b]Алиасы[/b]
RKIT/Podnuha.AK.1 (AntiVir)
Rootkit.Podnuha.AK.1 (Webwasher-Gateway)
Trojan:Win32/Boaxxe.B (Microsoft)
Trojan.DownLoader.54066 (DrWeb)
Trojan/Podnuha.ak (TheHacker)
W32/Podnuha.AK!tr.rkit (Fortinet)
W32/Rootkit.EKT (Norman)
[url]http://www.virustotal.com/ru/analisis/6238c0f4156b753931f855f44fbca11b[/url]

[b]Описание[/b]
Функцонирует как модуль Проводника.
Удаляет из автозагрузки SpybotSD TeaTimer.
Может детектироватся AVZ как: Подозрение на Rootkit.Win32.Podnuha.al

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=19430[/url]
[url]http://virusinfo.info/showthread.php?t=20048[/url]
[url]http://virusinfo.info/showthread.php?t=20373[/url]

[b]Файлы на диске[/b]
dll файл в папке C:\WINDOWS\system32 со случайным именем, например:
c:\windows\system32\adsnd.dll
C:\WINDOWS\system32\pstorsv.dll

[b]Способ запуска[/b]
Модуль расширения Internet Explorer, BHO
CLSID случайный.

Отличия [b]Rootkit.Win32.Podnuha.ay
Дополнительные Алиасы[/b]
BackDoor.Generic9.ADUG (AVG)
RKIT/Podnuha.AY.2 (AntiVir)
Rootkit.Podnuha.AY.2 (Webwasher-Gateway)
Trojan.DownLoader.54960 (DrWeb)
Trojan/Podnuha.ay (TheHacker)
W32/Podnuha.AY!tr.rkit (Fortinet)
W32/Rootkit.EQN (Norman)
Win-Trojan/Podnuha.98048.D (AhnLab-V3)
[url]http://www.virustotal.com/ru/analisis/eb9d7c0abf22f0c1e9a339e3f647f113[/url]

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=19996[/url]
[url]http://virusinfo.info/showthread.php?t=20247[/url]
[url]http://virusinfo.info/showthread.php?t=20412[/url]
[url]http://virusinfo.info/showthread.php?t=21622[/url]

Показывать 40 сообщений этой темы на одной странице

Текущее время: 17:58. Часовой пояс GMT +3.

Page generated in 0.01506 seconds with 10 queries