Актуальные зловреды

Printable View

Показывать 40 сообщений этой темы на одной странице

10.05.2008, 21:15
AndreyKa

Worm.Win32.Socks.af

[b]Алиасы[/b]
SHeur.BAQW (AVG)
Trojan.Spambot.3092 (DrWeb)
W32/Socks.af (TheHacker)
W32/Socks.E.worm (Panda)
Win32:Socks-AE (Avast)
Worm.Socks.af (Ewido)
[url]http://www.virustotal.com/ru/analisis/8140e22c1a72e86ac1ddb9f107f9561a[/url]

[b]Описание[/b]
Распространяется по локальной сети.
При запуске создает файл со случайным именем и расширением [b]syz[/b] в системной папке. Этот файл является [b]Rootkit.Win32.Agent.agi[/b] (Trojan.NtRootKit.1019).

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=20603[/url]
[url]http://virusinfo.info/showthread.php?t=21684[/url]
[url]http://virusinfo.info/showthread.php?t=21846[/url]
[url]http://virusinfo.info/showthread.php?t=22535[/url]
[url]http://virusinfo.info/showthread.php?t=22704[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\cssrss.exe
29696 байт

[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, WMDM PMSP Service
17.05.2008, 14:45
AndreyKa

SpamTool.Win32.Agent.jn

[b]Алиасы[/b]
Adware/GoodSearchNow (Panda)
Cutwail (McAfee)
SpamBot.G (AVG)
SpamTool.Agent.jn (Not a Virus) (CAT-QuickHeal)
TR/Kobcka.DS (AntiVir)
Trojan.Kobcka.DS (BitDefender)
Trojan.NtRootKit.1070 (DrWeb)
VirTool:WinNT/Cutwail.gen!C (Microsoft)
W32/Dloader.AMT!tr (Fortinet)
W32/Pandex.AI (Norman)
Win32/Cutwail.GH (eTrust-Vet)
[url]http://www.virustotal.com/ru/analisis/18fa1cb67798b1dcd51928d1beee7505[/url]

[b]Описание[/b]
Функционирует как модуль пространства ядра.

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=22782[/url]
[url]http://virusinfo.info/showthread.php?t=22832[/url]
[url]http://virusinfo.info/showthread.php?t=22874[/url]
[url]http://virusinfo.info/showthread.php?t=22901[/url]
[url]http://virusinfo.info/showthread.php?t=23231[/url]
[url]http://virusinfo.info/showthread.php?t=23496[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\System32\drivers\tcpsr.sys
6400 байт
Устанавливается вместе со следущими файлами:
%System%\drivers\{случайные 3 буквы и 2 цифры}.sys - RootKit...
%System%\WinData.cab - Trojan-Downloader.Win32.Mutant...
%System%\WinNt32.dll - Trojan-Downloader.Win32.Mutant...

[b]Способ запуска[/b]
Драйвер: tcpsr
18.05.2008, 00:23
AndreyKa

Trojan-Dropper.Win32.Agent.rek

[b]Алиасы[/b]
BackDoor.Bulknet.188 (DrWeb)
Scagent.T (AVG)
Trojan-Dropper.Win32.Agent.rek (GData)
Trojan.Dropper.Cutwail.D (BitDefender)
Trojan.Win32.Undef.ghy (Rising)
TrojanDropper:Win32/Cutwail.AA (Microsoft)
TrojanDropper.Agent.rek (CAT-QuickHeal)
W32/Agent.BD.gen!Eldorado (F-Prot)
W32/Agent.FPPA (Norman)
W32/Agent.REK!tr (Fortinet)
Win32/Cutwail (eTrust-Vet)
Win32/Wigon.BY (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/7375324c6135ab3f044560b0175c1c8a[/url]

[b]Описание[/b]
Распространяется через взломанные web-сайты.
Имеет свойства руткита.
Функционирует как модуль пространства ядра. Запускается и в безопасном режиме загрузки Windows.

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=22695[/url]
[url]http://virusinfo.info/showthread.php?t=22746[/url]
[url]http://virusinfo.info/showthread.php?t=22779[/url]
[url]http://virusinfo.info/showthread.php?t=22832[/url]
[url]http://virusinfo.info/showthread.php?t=23076[/url]
[url]http://virusinfo.info/showthread.php?t=23429[/url]
[url]http://virusinfo.info/showthread.php?t=23475[/url]
[url]http://virusinfo.info/showthread.php?t=23843[/url]
[url]http://virusinfo.info/showthread.php?t=23850[/url]

[b]Файлы на диске[/b]
Драйвер в папке C:\WINDOWS\system32\Drivers со случайным именем с двумя цифрами на конце, например:
C:\WINDOWS\System32\drivers\Ubg84.sys
27136 байт
Устанавливается вместе с файлом
%System%\WinNt32.dll - Trojan-Downloader.Win32.Mutant...

[b]Способ запуска[/b]
Драйвер. Иногда отсутствует в списке драйверов лога AVZ.
18.05.2008, 23:27
AndreyKa

Email-Worm.Win32.Zhelatin.yu

[b]Алиасы[/b]
Trojan.Packed.460, Trojan.Spambot.3251, Trojan.Spambot.3253 (DrWeb)
Trojan.Peed.PJ (BitDefender)
Win32.Email-Worm.Zhelatin.yu.4 (CAT-QuickHeal)
[url]http://www.virustotal.com/ru/analisis/ad693500a8d1cb79d6871d2350465cfa[/url]

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=22801[/url]
[url]http://virusinfo.info/showthread.php?t=22814[/url]
[url]http://virusinfo.info/showthread.php?t=22887[/url]
[url]http://virusinfo.info/showthread.php?t=22960[/url]
[url]http://virusinfo.info/showthread.php?t=22965[/url]
[url]http://virusinfo.info/showthread.php?t=23646[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\herjek.exe

[b]Способ запуска[/b]
Ключ реестра HKEY_USERS,
.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, herjek
20.05.2008, 22:08
AndreyKa

Trojan-Downloader.Win32.Small.vuy

[b]Алиасы[/b]
Downloader.Generic7.NJL (AVG)
Downloader.Small.vuy (Ewido)
TR/Dldr.Small.vuy (AntiVir)
Trj/Downloader.TRX (Panda)
Trojan.Dldr.Small.vuy (Webwasher-Gateway)
Trojan.DownLoader.60052 (DrWeb)
TrojanDownloader.Small.vuy (CAT-QuickHeal)
W32/Small.VUY!tr.dldr (Fortinet)
[url]http://www.virustotal.com/ru/analisis/d029393851f1173a21115ffe1eb3ab03[/url]

[b]Описание[/b]
В файле "прямым текстом" указана ссылка на exe-файл на хосте 195.5.116.240, расположенном в Эстонии.

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=22888[/url]
[url]http://virusinfo.info/showthread.php?t=22948[/url]
[url]http://virusinfo.info/showthread.php?t=23007[/url]
[url]http://virusinfo.info/showthread.php?t=23037[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\subsys.dll
4096 байт

[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\subsys,
DLLName subsys.dll
24.05.2008, 13:34
AndreyKa

Trojan-Downloader.Win32.Peregar.cg

[b]Алиасы[/b]
Adware/MultimediaDecoder (Panda)
Downloader.Generic7.IZY (AVG)
Druogna (McAfee)
TR/Dldr.Peregar.CG.1 (AntiVir)
Troj/Zlob-AJC (Sophos)
Trojan:Win32/Delflob.I (Microsoft)
Trojan.BHO.OAS (BitDefender)
Trojan.Dldr.Peregar.CG.1 (Webwasher-Gateway)
Trojan.Downloader-33091 (ClamAV)
Trojan.DownLoader.59078 (DrWeb)
Trojan.Fakeavalert (Symantec)
Trojan/Downloader.Peregar.cg (TheHacker)
TrojanDownloader.Peregar.cg (CAT-QuickHeal)
W32/Downldr2.BXCO (F-Prot)
W32/Peregar.CG!tr.dldr (Fortinet)
Win32: Peregar-K (Avast)
Win32/Adware.IeDefender.NDH (NOD32v2)
Win32/Burgspill!generic (eTrust-Vet)
[url]http://www.virustotal.com/ru/analisis/7b68d746e6f0c463d050aaa1e16bd60e[/url]

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=21900[/url]
[url]http://virusinfo.info/showthread.php?t=21941[/url]
[url]http://virusinfo.info/showthread.php?t=22833[/url]
[url]http://virusinfo.info/showthread.php?t=23297[/url]

[b]Файлы на диске[/b]
Имя файла случайное, находиться в папке C:\WINDOWS, например:
C:\WINDOWS\tonsakre.dll
C:\WINDOWS\zsokry.dll
216064 байт

[b]Способ запуска[/b]
BHO
CLSID: {95E1D855-9232-48F7-80D9-1ADB65B7939C}
31.05.2008, 22:10
AndreyKa

Trojan-Downloader.Win32.Delf.cxa

[b]Алиасы[/b]
Downloader.Delf.cxa (Ewido)
GenPack:Generic.Malware.SP!BdldPk!g.1CEB408A (BitDefender)
Mal/Emogen-Y (Sophos)
MalwareScope.Trojan-PSW.Game.14 (VBA32)
SHeur.AAKQ (AVG)
TROJ_DELF.MYR (Trend Micro)
Trojan-Downloader.Win32.Delf.cxa (GData)
Trojan.Downloader-17478 (ClamAV)
Trojan.DownLoader.36467 (DrWeb)
TrojanDownloader.Delf.cxa (CAT-QuickHeal)
W32/Delf.CXA!tr.dldr (Fortinet)
W32/Heuristic-210!Eldorado (F-Prot)
W32/Hupigon.BMSP (Norman)
Win32:Agent-SIM (Avast)
Win32/SillyAutorun.AD (eTrust-Vet)
Worm:Win32/SillyShareCopy.F (Microsoft)
Worm.Win32.AvKiller.ca (Rising)
[url]http://www.virustotal.com/ru/analisis/12bf1318282071b0700ddceb87de3f63[/url]

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=20009[/url]
[url]http://virusinfo.info/showthread.php?t=20604[/url]
[url]http://virusinfo.info/showthread.php?t=23080[/url]
[url]http://virusinfo.info/showthread.php?t=23288[/url]
[url]http://virusinfo.info/showthread.php?t=23623[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\MicrSoft.exe
MicrSoft.exe в корне других дисков.
22714 байт

[b]Способ запуска[/b]
1. Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, MicrSoft
2. Устанавливается как отладчик процессов различных антивирусов и др. программ.

[b]Внешние проявления [/b](со слов пользователей)
Антивирус не запускается.
31.05.2008, 22:49
Зайцев Олег

[quote=AndreyKa;234655][B]Алиасы[/B]
Downloader.Delf.cxa (Ewido)
GenPack:Generic.Malware.SP!BdldPk!g.1CEB408A (BitDefender)
Mal/Emogen-Y (Sophos)
MalwareScope.Trojan-PSW.Game.14 (VBA32)
SHeur.AAKQ (AVG)
TROJ_DELF.MYR (Trend Micro)
Trojan-Downloader.Win32.Delf.cxa (GData)
Trojan.Downloader-17478 (ClamAV)
Trojan.DownLoader.36467 (DrWeb)
TrojanDownloader.Delf.cxa (CAT-QuickHeal)
W32/Delf.CXA!tr.dldr (Fortinet)
W32/Heuristic-210!Eldorado (F-Prot)
W32/Hupigon.BMSP (Norman)
Win32:Agent-SIM (Avast)
Win32/SillyAutorun.AD (eTrust-Vet)
Worm:Win32/SillyShareCopy.F (Microsoft)
Worm.Win32.AvKiller.ca (Rising)
[URL]http://www.virustotal.com/ru/analisis/12bf1318282071b0700ddceb87de3f63[/URL]

[B]Встречен в темах[/B]
[URL]http://virusinfo.info/showthread.php?t=20009[/URL]
[URL]http://virusinfo.info/showthread.php?t=20604[/URL]
[URL]http://virusinfo.info/showthread.php?t=23080[/URL]
[URL]http://virusinfo.info/showthread.php?t=23288[/URL]
[URL]http://virusinfo.info/showthread.php?t=23623[/URL]

[B]Файлы на диске[/B]
C:\WINDOWS\system32\MicrSoft.exe
MicrSoft.exe в корне других дисков.
22714 байт

[B]Способ запуска[/B]
1. Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, MicrSoft
2. Устанавливается как отладчик процессов различных антивирусов и др. программ.

[B]Внешние проявления [/B](со слов пользователей)
Антивирус не запускается.[/quote]
Небольшое дополнение по зверю:
Размер исполняемого файла 22 кб, исполняемый файл упакован.
1. Выполняет через cmd.exe консольную команду date, меняя системную дату на 2005 год. Как известно, лицензии многих антивирусов привязаны к дате и перевод даты на несколько лет назад приводит к блокировке их работы
2. Зловред активирует для своего процесса привилегию SeDebugPrivilege
3. пытается остановить процессы ряда антивирусов - для этого он изучает список запущенных процессов и убивает процессы по именам
4. Создает в корне дисков файлы X:\AutoRun.inf и X:\MicrSoft.exe (MicrSoft.exe - копия исполняемого файла зловреда, в autorun классические строчки типа Shell\Open\Command=MicrSoft.exe и Shell\Explore\Command=MicrSoft.exe)
5. Зловред запускает InternetExplorer, модифицирует память его процесса и модифицирует контекст главного потока IE для запуска своего троянского кода. Аналогичную операцию он делает с svchost.exe. Зловред пытается обмениваться с Инет и загружать файлы (URL уже недоступен)
6. Повреждает параметры загрузки в защищенном режиме, удаляя ряд ключей
7. Регистрирует массу отладчиков процессов, в основном для антивирусов и прочего защитного ПО. Отладчиком он прописывает файл C:\WINDOWS\system32\MicrSoft.exe (это еще одна копия зловреда, он создает ее при запуске)
Исходный файл зловреда после запуска самоуничтожается классическим методом - при помощи BAT файла. В распакованном EXE видна внушительная база данных исполняемых файлов, с которым борется данный зловред.
03.06.2008, 23:03
AndreyKa

Trojan-Dropper.Win32.Agent.seg

[b]Алиасы[/b]
BlockReason.0 (Webwasher-Gateway)
Trojan.MulDrop.16286 (DrWeb)
[url]http://www.virustotal.com/ru/analisis/8c3434b4cef6e431aa957312b5b79771[/url]

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=23646[/url]
[url]http://virusinfo.info/showthread.php?t=23738[/url]
[url]http://virusinfo.info/showthread.php?t=23742[/url]
[url]http://virusinfo.info/showthread.php?t=23885[/url]
[url]http://virusinfo.info/showthread.php?t=23938[/url]
[url]http://virusinfo.info/showthread.php?t=23960[/url]
[url]http://virusinfo.info/showthread.php?t=24016[/url]
[url]http://virusinfo.info/showthread.php?t=24820[/url]

[b]Файлы на диске[/b]
Файл в папке C:\WINDOWS\Temp с именем NT*.exe, где вместо звёздочки несколько шестнадцатеричных цифр, например:
C:\WINDOWS\Temp\NT11032.exe
C:\WINDOWS\Temp\NT4E32.exe
37376 байт

[b]Способ запуска[/b]
Записывает в папки с бараузерами Internet Explorer, Opera и Firefox троянский файл setupapi.dll ([b]Trojan.Win32.Agent.qtj[/b])
08.06.2008, 22:08
AndreyKa

Trojan.Win32.Agent.qry

[b]Алиасы[/b]
Agent.WGN (AVG)
Trojan:Win32/Chksyn.gen!A (Microsoft)
Trojan.Agent-26275 (ClamAV)
Trojan.Agent.qry (CAT-QuickHeal)
Trojan.PWS.Lich (DrWeb)
Win32/Agent.NWA (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/16b38717f64137a854a394d4e34fda31[/url]

[b]Описание[/b]
При удалении данного трояна пользователь не сможет войти в систему.
Поэтому, его следует заменить на здоровый файл из папки c:\windows\system32\dllcache

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=23646[/url]
[url]http://virusinfo.info/showthread.php?t=23696[/url]
[url]http://virusinfo.info/showthread.php?t=23719[/url]
[url]http://virusinfo.info/showthread.php?t=23738[/url]
[url]http://virusinfo.info/showthread.php?t=23960[/url]
[url]http://virusinfo.info/showthread.php?t=24115[/url]
[url]http://virusinfo.info/showthread.php?t=24122[/url]

[b]Файлы на диске[/b]
c:\windows\system32\userinit.exe
32212 байт

[b]Способ запуска[/b]
Подменяет собой системный файл userinit.exe, который переименовывается в sdjeavd.tmp
09.06.2008, 00:21
AndreyKa

Trojan.Win32.Agent.qtj

[b]Алиасы[/b]
Agent.WAD (AVG)
TR/Agent.30208 (AntiVir)
Trojan.Agent-26215 (ClamAV)
Trojan.Agent.30208 (Webwasher-Gateway)
Trojan.DownLoader.62734 (DrWeb)
Trojan/Agent.qtj (TheHacker)
[url]http://www.virustotal.com/ru/analisis/06190c990d66e17cfefc6ad500d32fc7[/url]

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=23626[/url]
[url]http://virusinfo.info/showthread.php?t=23738[/url]
[url]http://virusinfo.info/showthread.php?t=23960[/url]
[url]http://virusinfo.info/showthread.php?t=24115[/url]

[b]Файлы на диске[/b]
SETUPAPI.dll в папке браузера, например:
C:\Program Files\Internet Explorer\SETUPAPI.dll
30208 байт

[b]Способ запуска[/b]
1. Загружается при старте браузера вместо системной библиотеки SETUPAPI.dll.
2. Прописывает себя как отладчик процесса rundll32.exe:
Debugger = "%ProgramFiles%\Internet Explorer\rundll32 setupapi.dll,s"
15.06.2008, 00:24
AndreyKa

Trojan.Win32.DNSChanger.dqm

[b]Алиасы[/b]
BackDoor.Generic9.ARTE (AVG)
Trojan.Agent.AIVZ (BitDefender)
Trojan.DNSChanger.dqm (CAT-QuickHeal)
Trojan.NtRootKit.1182 (DrWeb)
VirTool:WinNT/Pasich.A (Microsoft)
W32/DNSChanger.BBQY (Norman)
W32/DNSChanger.DQM!tr (Fortinet)
Win32: DNSChanger-VJ (Avast)
[url]http://www.virustotal.com/ru/analisis/f496ca385265389df80698417daa3f80[/url]

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=23646[/url]
[url]http://virusinfo.info/showthread.php?t=23885[/url]
[url]http://virusinfo.info/showthread.php?t=23940[/url]
[url]http://virusinfo.info/showthread.php?t=24455[/url]
[url]http://virusinfo.info/showthread.php?t=24499[/url]

[b]Файл на диске[/b]
C:\WINDOWS\system32\Drivers\clbdriver.sys
6656 байт
Также на диске существует файл:
C:\WINDOWS\system32\clbdll.dll
который может детектироваться под разными именами, например:
[b]Rootkit.Win32.Clbd.p[/B]
[b]Rootkit.Win32.Clbd.bb[/B]
[B]Trojan-Downloader.Win32.Agent.qpq[/B]

[b]Способ запуска[/b]
Упоминания о данном рутките может отсутствовать в логах AVZ, выполненных согласно Правилам нашего форума.
Обнаружить присутствие данного руткита AVZ может, если установлен драйвер расширенного мониторинга процессов AVZPM.

[b]Внешние проявления [/b](со слов пользователей)
Не запускаются браузеры Opera и Firefox, работает только Internet Explorer.
Обновление антивируса не работает. Сайт антивируса не доступен.
21.06.2008, 17:37
AndreyKa

Trojan-Downloader.Win32.Agent.nsx

[b]Алиасы[/b]
PSW.Agent.TMB (AVG)
TR/Dldr.Agent.NDX.2 (AntiVir)
Trj/Downloader.TZF (Panda)
Troj/Bckdr-QNZ (Sophos)
Trojan.Dldr.Agent.NDX.2 (Webwasher-Gateway)
Trojan.DownLoader.63153 (DrWeb)
Trojan/Downloader.Agent.nsx (TheHacker)
TrojanDownloader.Agent.nsx (CAT-QuickHeal)
TSPY_AGENT.AGDG (TrendMicro)
W32/Generic.A!tr.dldr (Fortinet)
Win32:Trojan-gen {Other} (Avast)
Win32.Worm.Socks.AT (BitDefender)
Win32/Zalup.AA (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/a12aaf2f7783d0aafcd239271e21359b[/url]

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=24176[/url]
[url]http://virusinfo.info/showthread.php?t=24394[/url]
[url]http://virusinfo.info/showthread.php?t=24402[/url]
[url]http://virusinfo.info/showthread.php?t=24612[/url]
[url]http://virusinfo.info/showthread.php?t=24669[/url]
[url]http://virusinfo.info/showthread.php?t=24677[/url]
[url]http://virusinfo.info/showthread.php?t=24679[/url]
[url]http://virusinfo.info/showthread.php?t=24737[/url]
[url]http://virusinfo.info/showthread.php?t=24806[/url]

[b]Файлы на диске[/b]
Встречается под разными именами, например:
C:\WINDOWS\system32\explorer.dll
C:\WINDOWS\system32\ftp34.dll
C:\Documents and Settings\Администратор\ftp34.dll
C:\Documents and Settings\User\explorer.dll
4608 байт
Создаётся вредоносными программами:
P2P-Worm.Win32.Socks.ea
P2P-Worm.Win32.Socks.ec
Они могут иметь следующие имена:
C:\Documents and Settings\_Пользователь_\Главное меню\Программы\Автозагрузка\userinit.exe
C:\Documents and Settings\_Пользователь_\svchost.exe
C:\WINDOWS\system32\drivers\services.exe
22.06.2008, 21:01
AndreyKa

Trojan-Downloader.Win32.Agent.nzo

[b]Алиасы[/b]
TR/Drop.Agent.KCN (AntiVir)
Trojan.DL.Win32.Mnless.ajh (Rising)
Trojan.DownLoader.62860 (DrWeb)
Trojan.Drop.Agent.KCN (Webwasher-Gateway)
Trojan/Downloader.Agent.nzo (TheHacker)
TrojanDownloader.Agent.nzo (CAT-QuickHeal)
W32/Srizbi.BH (Norman)
Win-Trojan/Agent.12800.EH (AhnLab-V3)
[url]http://www.virustotal.com/ru/analisis/15f9ecc00713c5682b25b438181b85b8[/url]

[b]Описание[/b]
При удалении данного трояна пользователь не сможет войти в систему.
Поэтому, его следует заменить на здоровый файл из папки c:\windows\system32\dllcache
Загружает и запускает вредоносные программы с сайта [b]maseratto.info[/b]

[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=24679[/url]
[url]http://virusinfo.info/showthread.php?t=24680[/url]
[url]http://virusinfo.info/showthread.php?t=24737[/url]
[url]http://virusinfo.info/showthread.php?t=24754[/url]
[url]http://virusinfo.info/showthread.php?t=24768[/url]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\userinit.exe
12800 байт

[b]Способ запуска[/b]
Подменяет собой системный файл userinit.exe, который переименовывается в userini.exe

[b]Внешние проявления [/b]
Сам себя не проявляет, но вредоносные программы, которые он скачивает из Интернета и запускает, могут проявлять себя. Например, так:
На рабочем столе появляется надпись:
[quote][center][size=+1][b]
Warning!
Spyware detected on your computer!
Install an antivirus or spyware remover to
clean you computer.
[/size][/b][/center][/quote]
При этом отключается служба восстановления системы (чтобы удалить все сохранённые состояния) и затем включается и создаётся точка восстановления с именем "Last good restore point".
12.07.2008, 10:24
AndreyKa

Trojan-Downloader.Win32.FraudLoad.vag, Trojan.Win32.BHO.eya и Trojan-Downloader.Win32.BHO.qb

[b]Алиасы[/b]
Downloader.Generic7.YAV (AVG)
TR/Dldr.FraudLoad.vagw (AntiVir)
TROJ_RENOS.WR (TrendMicro)
Trojan.Dldr.FraudLoad.vagw (Webwasher-Gateway)
TrojanDownloader:Win32/Renos.DG (Microsoft)
TrojanDownloader.FraudLoad.va (CAT-QuickHeal)
Win32/Adware.IeDefender.NGB (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/866b07be5f4b320102bf3a9c857565e1[/url]

[b]Описание[/b]
При использовании Internet Explorer имитирует сообщения о вирусной атаке и предлагает получить защиту (на самом деле установить троян).
[quote]
[size=+1][color=blue]Insecure Internet activity. Threat of virus attack[/size][/color]
_________________________________________________________
Due to insecure Internet browsing your PC can easily get infected with viruses, worms and trojans without your
...
[/quote]
Кроме того, при посещении страниц в IE и при открытии папок в Проводнике появляется всплывающее окно сообщения с заголовком [b]Critical Error![/b]
Текст сообщения:
[quote]Attention, [имя пользователя]! Some dangerous viruses detected in you system. Microsoft Windows XP files corrupted.
This may lead to the destruction of important files in C:\WINDOWS. Download protection software now!
Click OK to download the antispyware. (Recommended)[/quote]
Если пользователь соглашается, то открывается страница на сайте [b]free-viruscan.com[/b] с ложными данными о наличии ошибок и предлагающих скачать антивирус чтобы их исправить.
Фальшивый антивирус загружается с домена [b]getieantivirus.com[/b] и на данный момент детектируется как:
ADSPY/AdSpy.Gen (AntiVir)
Trojan:Win32/Delflob.I (Microsoft)
IE Defender-Installer (Sophos)
[url]http://www.virustotal.com/ru/analisis/c672d41c160f15c31961ca3cfd40a77e[/url]

[b]Встречен в темах[/b]
[thread]26099[/thread]
[thread]26111[/thread]
[thread]26188[/thread]

[b]Файлы на диске[/b]
Имена у файла могут быть различные. Например:
C:\WINDOWS\system32\epsonbho.dll
C:\WINDOWS\system32\epsdrv.dll
C:\WINDOWS\system32\epsbho.dll
22528 байт

[b]Способ запуска[/b]
BHO
CLSID {87FD33C2-7891-45D5-ACD1-7935F9AEA26B}

[b]Дополнительные алиасы Trojan.Win32.BHO.eya[/b]
TR/BHO.eya (AntiVir)
TROJ_FAKEAVALE.L (TrendMicro)
Trojan.BHO.eya (CAT-QuickHeal)
Trojan.Click.19457 (DrWeb)
Trojan.Renos.NDD (BitDefender)
W32/BHO.DPO (Norman)
Win32/Adware.IeDefender.NGG (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/7e1d20d3c307c280be40dc54c6d42980[/url]

[b]Встречен в темах[/b]
[thread]26423[/thread]
[thread]26425[/thread]
[thread]26428[/thread]
[thread]26487[/thread]

[b]Файлы на диске[/b]
Возможны различные названия, например:
C:\WINDOWS\system32\iefltr.dll
C:\WINDOWS\system32\iexp_f.dll
20992 байт

[b]Способ запуска[/b]
BHO
CLSID {8B2AE9C0-1555-4C92-905A-531532F15698}

[b]Дополнительные алиасы Trojan-Downloader.Win32.BHO.qb[/b]
BHO.FEW (AVG)
TR/Dldr.BHO.QB (AntiVir)
TROJ_DLOADER.KRK (TrendMicro)
Troj/Istbar-DY (Sophos)
Trojan.BHO-3834 (ClamAV)
Trojan.Dldr.BHO.QB (Webwasher-Gateway)
Trojan.Fakealert.1187 (DrWeb)
Trojan.Fakeavalert (Symantec)
Trojan.Win32.Downloader.20480.HL (ViRobot)
Trojan.Zlob.CQJ (BitDefender)
TrojanDownloader.BHO.qb (CAT-QuickHeal)
W32/Zlob.CDZP (Norman)
Win32/Adware.IeDefender.NGT (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/da51b2ee735be27861aef8f56f9b8ec2[/url]

[b]Описание[/b]
Теперь в окне Internet Explorer отображается такое сообщение с сайта [b]free-viruscan.com[/b]:
[quote]
[size=+1][color=red]Warning [/color]- you are infected by this site! Please, read our suggestions![/size]

You can learn more about harmful web content and protect your computer at [color=blue]Internet Explorer Antivirus[/color].
Just [color=blue]download IE Antivirus[/color] Now and Protect your Business forever!
[/quote]

[b]Встречен в темах[/b]
[thread]27901[/thread]
[thread]27977[/thread]
[thread]27980[/thread]
[thread]28119[/thread]

[b]Файлы на диске[/b]
Имя файла может быть различным:
C:\WINDOWS\system32\gtbl.dll
C:\WINDOWS\system32\g2tbl.dll
20480 байт

[b]Способ запуска[/b]
BHO GTool
CLSID: {53322B35-2C26-4FAC-A713-C31BBAA1C636}
05.08.2008, 22:34
AndreyKa

AdWare.Win32.XmlMimeFilter.k

[b]Алиасы[/b]
Adware.XMLMime.1 (DrWeb)
Adware.XmlMimeFilter.85504 (ViRobot)
Generic3.IIY (AVG)
TR/BHO.Agent.85504 (AntiVir)
Trojan.Adclicker (Symantec)
Trojan.BHO.Agent.85504 (Webwasher-Gateway)
Win32/Adware.Agent.NJB (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/c433b44805afb00759bc2d8cf561787d[/url]

[b]Описание[/b]
В файле зашиты два списка имен доменов. Первый:
[code]
yandex.ru
rambler.ru
google.com
mail.ru
google.ru
vkontakte.ru
odnoklassniki.ru[/code]
И второй, скорее всего, как источник фальшивых данных для искажения работы сайтов из первого списка:
[code]
01searchfeed.ru
allfindz.ru
allianzoo.ru
beefunny.ru
cangomors.ru
partymotex.ru
sites-obzor.ru
site-ortek.ru
v-cataloge.ru
www.4-seacher.ru[/code]

[b]Встречен в темах[/b]
[thread]26789[/thread]
[thread]27123[/thread]
[thread]27180[/thread]
[thread]27490[/thread]
[thread]27717[/thread]

[b]Файлы на диске[/b]
C:\windows\twain_8.dll
85504 байт

[b]Способ запуска[/b]
Protocol
Описание: DLL Module (XMLMimeFilter MIME Filter Sample)
CLSID: {53B95211-7D77-11D2-9F80-00104B107C96}
Файл: C:\windows\twain_8.dll
19.08.2008, 23:07
AndreyKa

Trojan.Win32.Agent.zdw

[b]Алиасы[/b]
TR/Agent.zdw (AntiVir)
Trojan.Agent.zdw (CAT-QuickHeal)
Trojan.Packed.573 (DrWeb)
Trojan.Win32.Agent.43008.O (ViRobot)
W32/Agent.ZDW!tr (Fortinet)
Win-Trojan/Proxy.43008.B (AhnLab-V3)
[url]http://www.virustotal.com/ru/analisis/af45d51f7671ff65e7df3444e75c6ba8[/url]

[b]Описание[/b]
Может запускаеть несколько своих процессов.
Останавливает службы "Центр обеспечения безопасности" и "Брандмауэр Windows".
Добавляет себя в список исключений Брандмауэра Windows.
Способен отправлять сообщения по электронной почте.
В файле пристствуют IP адреса 192.168.1.164, 206.137.17.89, 66.232.109.178 и 209.20.130.33.

[b]Встречен в темах[/b]
[thread]28227[/thread]
[thread]28288[/thread]
[thread]28324[/thread]
[thread]28440[/thread]
[thread]28506[/thread]

[b]Файлы на диске[/b]
C:\WINDOWS\services.exe
43008

[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, services
C:\WINDOWS\services.exe
20.08.2008, 22:08
AndreyKa

Trojan-Banker.Win32.Banker.uvo, Backdoor.Win32.Frauder.bu и Backdoor.Win32.Frauder.fk

[b]Алиасы[/b]
Antivirus2008.DO (Norman)
Backdoor.Win32.Frauder.r (GData)
Hoax.Win32.AntivirusXP (VBA32)
MemScan:Trojan.FakeAlert.AAH (BitDefender)
SHeur.CDJI (AVG)
TR/Fakealert.aah.9 (AntiVir)
Trj/Banker.FWD (Panda)
Trojan.Blusod (Symantec)
Trojan.Fakealert.aah.9 (Webwasher-Gateway)
Trojan.Packed.600 (DrWeb)
TrojanBanker.Banker.uvo (CAT-QuickHeal)
TrojanDownloader:Win32/Renos.gen!AU (Microsoft)
W32/Banker.UVO!tr (Fortinet)
Win-Trojan/FakeAV.194560 (AhnLab-V3)
[url]http://www.virustotal.com/ru/analisis/ef77c288995fc2bdd11ee1b5aa9f7c4e[/url]

[b]Описание[/b]
Копирует себя в системую папку Windows.
Прописывается в реестре для автозагрузки.
Устанавливает в качестве фона рабочего стола картинку с надписью:
[quote][center]
[size=+2][b]Warning![/size]
[size=+1]Spyware detected on you computer![/size][/b]

Install an antivirus or spyware to clean your computer

[/center]
Warning! Win32/Adware.Virtumode
Detected on you computer

Warning! Win32/PrivacyRemover.M64
Detected on you computer
[/quote]
Устанавливает в качестве хранителя экрана имитацию BSOD (синий экран).
Удает все сохранённые точки восстановления и затем создаёт точку восстановления с именем "Last good restore point" (она содержит в себе данный троян).
В файле присутствуют следующие имена доменов:
[quote]
odnoklassniki.ru
vkontakte.ru
google.ru
statsbank.com
boards.cexx.org
adultwebmasterinfo.com
dialerschutz.de
webmasterworld.com
crutop.nu
gofuckyourself.com
santa-inbox.com
[/quote]

[b]Встречен в темах[/b]
[thread]28328[/thread]
[thread]28355[/thread]
[thread]28440[/thread]

[b]Файлы на диске[/b]
c:\windows\system32\lphc_набор_букв_и_цифр_.exe
194560 байт

[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, lphc1j5j0e3gd
C:\WINDOWS\system32\lphc1j5j0e3gd.exe
(Прим.: имена файла и ключа будут другие)

[b]Внешние проявления [/b](со слов пользователей)
На рабочем столе появилось изображение с надписью "Warning! Spyware detected on your computer!..." на белом фоне, в свойствах рабочего стола исчезли вкладки "Рабочий стол" и "Заставка".

[b]Алиасы Backdoor.Win32.Frauder.bu[/b]
BDS/Frauder.bu (AntiVir)
Downloader-ASH.gen.b (McAfee)
Downloader.FraudLoad.N (AVG)
TROJ_FAKEALER.OE (TrendMicro)
Trojan.Backdoor.Frauder.bu (Webwasher-Gateway)
Trojan.FakeAlert.ACR (BitDefender)
Trojan.Packed.619 (DrWeb)
Trojan.Win32.Packed.203776 (ViRobot)
W32/Tibs.gen225 (Norman)
Win32:Tibs-EJA (Avast)
[url]http://www.virustotal.com/ru/analisis/b77911ddff8f9c5837c9503f1dd40a30[/url]

[b]Встречен в темах[/b]
[thread]28948[/thread]
[thread]28984[/thread]
[thread]29008[/thread]
[thread]29010[/thread]
[thread]29036[/thread]
[thread]29059[/thread]
[thread]29068[/thread]
[thread]29142[/thread]
[thread]29182[/thread]
[thread]29250[/thread]

[b]Файл на диске[/b]
203776 байт

[b]Алиасы Backdoor.Win32.Frauder.fk[/b]
BDS/Frauder.FJ (AntiVir)
Downloader.Generic7.AOUH (AVG)
TROJ_FAKEAV.HP (TrendMicro)
Trojan.FakeAlert.AEZ (BitDefender)
Trojan.Packed.636 (DrWeb)
TrojanDownloader:Win32/Renos.AS (Microsoft)
W32/ASH.FJ!tr.bdr (Fortinet)
W32/DLoader.JNTL (Norman)
Win-Trojan/Fakeav.199168.G (AhnLab-V3)
Win32.Backdoor.Frauder.fk.4 (CAT-QuickHeal)
Win32/Bugnraw.KS (eTrust-Vet)
Win32/TrojanDownloader.FakeAlert.JP (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/d003731704b3f10d134a194ff4e61825[/url]

[b]Отличия Backdoor.Win32.Frauder.fk[/b]
В файле присутствуют следующие имена доменов:
av-xp2008.com
presents.avxp2008.com
youpornztube.net

[b]Встречен в темах[/b]
[thread]30163[/thread]
[thread]30178[/thread]
[thread]30198[/thread]
[thread]30225[/thread]
[thread]30268[/thread]
[thread]30279[/thread]
[thread]30298[/thread]
[thread]30303[/thread]
[thread]30318[/thread]
[thread]30347[/thread]
[thread]31122[/thread]
[thread]31492[/thread]

[b]Файл на диске[/b]
199168 байт
30.08.2008, 22:04
AndreyKa

Trojan.Win32.BHO.gcs

[b]Алиасы[/b]
TR/PSW.Agent.knw (AntiVir)
Trojan.BHO.gcs (CAT-QuickHeal)
Trojan.Click.20003 (DrWeb)
Trojan.PSW.Agent.knw (Webwasher-Gateway)
Trojan.Win32.BHO.249856 (ViRobot)
Trojan/BHO.gcs (TheHacker)
Win-Trojan/Bho.249856 (AhnLab-V3)
[url]http://www.virustotal.com/ru/analisis/a94cdd71dc8c0b0b915c3ecafcb04ebe[/url]

[b]Встречен в темах[/b]
[thread]28396[/thread]
[thread]28442[/thread]
[thread]28499[/thread]
[thread]28651[/thread]
[thread]28755[/thread]
[thread]28850[/thread]
[thread]28980[/thread]
[thread]29129[/thread]
[thread]29218[/thread]
[thread]29453[/thread]

[b]Файлы на диске[/b]
C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
249856 байт
Также возможно присутствие вредоносных файлов:
C:\WINDOWS\SYSTEM32\VIDEO.sys
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\winhelp32.exe
C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp

[b]Способ запуска[/b]
1. Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
Значение: C:\WINDOWS\SYSTEM32\vmmreg32.dll
2. BHO {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}
C:\WINDOWS\system32\vmmreg32.dll
3. AppInit_DLLs: vmmreg32.dll
07.09.2008, 18:01
AndreyKa

Trojan-Spy.Win32.Zbot.eev

[b]Алиасы[/b]
PSW.Generic6.YOJ (AVG)
TR/Spy.ZBot.eev.4 (AntiVir)
Trojan.Proxy.3780 (DrWeb)
Trojan.Spy.ZBot.eev.4 (Webwasher-Gateway)
Trojan.Spy.ZBot.JR (BitDefender)
W32/Zbot.AXZ (Norman)
[url]http://www.virustotal.com/ru/analisis/06d1095f77997b4c62be8e4aff2a976c[/url]

[b]Описание[/b]
При запуске троян прописывет свою автоматическую загрузку в реестре, подключается к серверу с адресом 195.2.252.33 и скачивает зашифрованный файл.
Данный сервер находится в сети провайдера [b]Madet Ltd.[/b] г. Москва.
В данный момент на нём также выложены другие вредоносные файлы:
1.exe = Trojan.Srizbi.Dropper.1.Gen
2.exe = Rootkit.Win32.Agent.cun (Trojan.Proxy.3541)

[b]Встречен в темах[/b]
[thread]28621[/thread]
[thread]28898[/thread]
[thread]28948[/thread]
[thread]29172[/thread]
[thread]29221[/thread]
[thread]29324[/thread]
[thread]29542[/thread]

[b]Файлы на диске[/b]
С:\WINDOWS\system32\oembios.exe
размер файла в пределах ~100-600 КБ.

[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon
UserInit=C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\oembios.exe,

[b]Внешние проявления [/b](со слов пользователей)
Компьютер перезагружается после входа пользователя в нормальном режиме загрузки Windows.

Показывать 40 сообщений этой темы на одной странице