Backdoor.Win32.Small.eug и Backdoor.Win32.Small.gjm
[b]Алиасы[/b]
Adware.Agent.ZO (PCTools)
Adware.Bravia.Gen!Pac.2 (VirusBuster)
Backdoor.Agent.ZQB (BitDefender)
Backdoor.Small.ejx (CAT-QuickHeal)
Backdoor.Small.eug (Ewido)
Backdoor.Win32.Small.6144.F (ViRobot)
Backdoor.Win32.Small.ejx (K7AntiVirus)
Backdoor/Small.eug (TheHacker)
TROJ_AGENT.AEUM (TrendMicro)
Trojan.Proxy.1739 (DrWeb)
Trojan.Virantix.C (Symantec)
Trojan.Win32.Undef.krb (Rising)
TrojanDownloader:Win32/Eldycow.gen!A (Microsoft)
W32/Backdoor2.CCYP (F-Prot)
W32/Small.EU!tr.dldr (Fortinet)
W32/Smalldoor.BZKQ (Norman)
Win-Trojan/Agent.6144.HK (AhnLab-V3)
Win32/Eldycow.EL (eTrust-Vet)
Win32/TrojanDownloader.Agent.OBD (NOD32v2)
[url]http://www.virustotal.com/ru/analisis/a01df32955ec68e9e6fe3b99461de96e[/url]
[b]Встречен в темах[/b]
[thread]28722[/thread]
[thread]29426[/thread]
[thread]29657[/thread]
[thread]29693[/thread]
[thread]29716[/thread]
[thread]29743[/thread]
[thread]29766[/thread]
[thread]29857[/thread]
[thread]29858[/thread]
[thread]29889[/thread]
[thread]29929[/thread]
[thread]29955[/thread]
[thread]29972[/thread]
[thread]29986[/thread]
[thread]30174[/thread]
[thread]31021[/thread]
[thread]31219[/thread]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\karina.dat
6144 байт
[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
C:\WINDOWS\system32\karina.dat
[b]Дополнительные алиасы Backdoor.Win32.Small.gjm[/b]
Backdoor.Agent.ZWW (BitDefender)
Trj/Downloader.MDW (Panda)
TROJ_VIRANTIX.BF (TrendMicro)
Trojan.Perfcoo!sd6 (PCTools)
W32/Agent.AEUM!tr (Fortinet)
W32/DLoader.KBCH (Norman)
Win32/SillyDl.FQJ (eTrust-Vet)
[url]http://www.virustotal.com/ru/analisis/eb9f7f2780c14b83a07ca86f1937a6e5[/url]
[b]Встречен в темах[/b]
[thread]31541[/thread]
[thread]31868[/thread]
[thread]31892[/thread]
[thread]32250[/thread]
[thread]32314[/thread]
[thread]32456[/thread]
[thread]32505[/thread]
[thread]32512[/thread]
[thread]32609[/thread]
[thread]32680[/thread]
[thread]32736[/thread]
[thread]32754[/thread]
[thread]32863[/thread]
[thread]32969[/thread]
[thread]32991[/thread]
[thread]33047[/thread]
[b]Файл на диске[/b]
C:\WINDOWS\system32\karna.dat
FraudTool.Win32.XPSecurityCenter.ai и Hoax.Win32.Bravia.ir
[b]Алиасы[/b]
Adware.XPSecurityCenter.R.10240 (ViRobot)
Aplicacion/XPSecurityCenter.ai (TheHacker)
Dropper.Bravix.A (AVG)
Misc/XPSecurityCenter (Fortinet)
Packer.Malware.Lighty.F (BitDefender)
TR/Dldr.FakeAler.FM (AntiVir)
TROJ_MALBEHV.MCS (TrendMicro)
Trojan.Dldr.FakeAler.FM (SecureWeb-Gateway)
Trojan.Packed.612 (DrWeb)
Trojan.Virantix.C (Symantec)
Trojan.Zlob.Gen!Pac.54 (VirusBuster)
TrojanDownloader:Win32/Renos (Microsoft)
W32/Lighty.B (Norman)
Win32:Bravix (Avast)
Win32/FakeAVDl.Z (eTrust-Vet)
Win32/TrojanDownloader.FakeAlert.GU (NOD32)
[url]http://www.virustotal.com/ru/analisis/69ff6b8ede23794abfe48193ca7adcdf[/url]
[b]Описание[/b]
Показывает в трее красный круг с белым иксом.
Показывает всплывающее сообщение:
[quote]
[b]You computer is infected![/b]
Windows has detected spyware infection!
It is recommended to use special antispyware tools to prevent
data loss.Windows will now download and install the most
up-to-date antispyware for you.
Click here to protect you computer from spyware!
[/quote]
Устанавливает [url]http://www.google.com[/url] как стартовую страницу Internet Explorer.
Включает использование элементов ActiveX не помеченных как безопасные.
Отключает сообщения Центра Безопасности Windows о выключенном Брандмауэре, антивирусе и Автоматическом обновлении Windows.
Содержит имена доменов:
antispyware-quick-scan.com
antivirus-quick-scan.com
spyware-quickscan-2008.com
spyware-quickscan-2009.com
virus-quickscan-2008.com
virus-quickscan-2009.com
[b]Встречен в темах[/b]
[thread]29858[/thread]
[thread]29905[/thread]
[thread]29911[/thread]
[thread]29929[/thread]
[thread]29955[/thread]
[thread]29986[/thread]
[thread]30283[/thread]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\buritos.exe
C:\WINDOWS\system32\braviax.exe
c:\windows\buritos.exe
10240 байт
[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, braviax
C:\WINDOWS\system32\braviax.exe
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, braviax
C:\WINDOWS\system32\braviax.exe
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, buritos
C:\WINDOWS\system32\buritos.exe
[b]Дополнительные алиасы Hoax.Win32.Bravia.ir[/b]
Adware/RogueAntimalware2008 (Panda)
Backdoor.Tidserv (Symantec)
Hoax.Antivirus2008.Do.9216 (ViRobot)
Hoax.Bravia.ir (CAT-QuickHeal)
Hoax.Win32.Renos.vazk (VBA32)
TROJ_FAKEALER.NP (TrendMicro)
[url]http://www.virustotal.com/ru/analisis/5b021c2b06d5c2d400fa7aeaeb95388a[/url]
[b]Встречен в темах[/b]
[thread]29633[/thread]
[thread]29657[/thread]
[thread]29716[/thread]
[thread]29743[/thread]
[thread]29875[/thread]
[thread]29889[/thread]
[thread]29972[/thread]
[thread]31217[/thread]
[thread]31219[/thread]
[b]Файл на диске[/b]
9216 байт
Trojan-Spy.Win32.Zbot.fah
[b]Алиасы[/b]
PSW.Generic6.AFNB (AVG)
PWS:Win32/Zbot.MW (Microsoft)
Trojan.PWS.Panda.18 (DrWeb)
TrojanSpy.Zbot.fah (CAT-QuickHeal)
TSPY_ZBOT.MCS (TrendMicro)
W32/Zbot.BGI (Norman)
Win32: Zbot-APE (Avast)
[url]http://www.virustotal.com/ru/analisis/49cc4383676973ad6884f77a4db53e19[/url]
[b]Описание[/b]
Копирует себя в системную папку.
Прописывает себя в реестр для автозагрузки.
Пытается похитить ключи и пароли к сайту интернет-банкинга [b]faktura.ru[/b]
Подключается к серверу с адресом 195.2.252.33 и скачивает зашифрованный файл.
Сервер 195.2.252.33 в данный момент распространяет новую версию данного трояна:
[url]http://www.virustotal.com/ru/analisis/188e1f3f7cd33c56be26d7e03517b46d[/url]
[b]Встречен в темах[/b]
[thread]30779[/thread]
[thread]30972[/thread]
[thread]31026[/thread]
[thread]31095[/thread]
[thread]31391[/thread]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\twext.exe
C:\WINDOWS\system32\twext.ex_
К телу размером 55296 байт дописано до нескольких сотен килобайт "мусора".
[b]Способ запуска[/b]
Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
C:\WINDOWS\system32\twext.exe
C:\WINDOWS\system32\twext.ex_
Trojan-Downloader.Win32.Delf.phh
[b]Алиасы[/b]
Downloader.Generic7.BCEZ (AVG)
TR/Crypt.GU.22 (AntiVir)
Trojan.Crypt.GU (BitDefender)
Trojan.Crypt.GU.22 (SecureWeb-Gateway)
Trojan.PWS.Siggen.22 (DrWeb)
Trojan.Win32.Downloader.16896.ACL (ViRobot)
TrojanDownloader:Win32/Bofang.B (Microsoft)
TrojanDownloader.Delf.phh (CAT-QuickHeal)
W32/Delf.CRNA (Norman)
W32/Delf.PHH!tr.dldr (Fortinet)
[url]http://www.virustotal.com/ru/analisis/897849cb479ad790713efea36329fe9c[/url]
[b]Описание[/b]
Записывает свою копию в файл %USERPROFILE%\Application Data\Adobe\Player.exe
В файле присутствуют URL c IP адресами 78.157.143.163 и 91.203.93.6.
По этим адресам расположены списки URL exe-файлов.
Дополнительно встречаются IP адреса 78.157.143.198 и 78.157.142.26.
Троян использует службу Windows BITS для загрузки файлов.
В данный момент упомянутые файлы детектируются антивирусом Касперского так:
Backdoor.Win32.Frauder.mb
Backdoor.Win32.Frauder.mo
Backdoor.Win32.Frauder.mr
Backdoor.Win32.Frauder.mu
Backdoor.Win32.Frauder.mv
Backdoor.Win32.Frauder.nc
Backdoor.Win32.Frauder.nd
Backdoor.Win32.TDSS.aao
Backdoor.Win32.TDSS.anp
Trojan-Downloader.Win32.Agent.ajnq
[b]Встречен в темах[/b]
[thread]32407[/thread]
[thread]32424[/thread]
[thread]32453[/thread]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\rgdam.exe
16896 байт
[b]Способ запуска[/b]
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run
Player = "%AppData%\Adobe\Player.exe"
FraudTool.Win32.XPSecurityCenter.be
[b]Алиасы[/b]
Adware.XPSecurityCenter.R.72660.G (ViRobot)
Downloader.MisleadApp (Symantec)
FraudTool.XPSecurityCenter.be (Not a Virus) (CAT-QuickHeal)
Generic3.YJG (AVG)
PHISH/Fraud.XPSecurityCenter.BE (AntiVir)
Trojan.Fakealert.1629 (DrWeb)
TrojanDownloader:Win32/FakeRean.gen!B (Microsoft)
W32/Behav-Heuristic-060 (TheHacker)
W32/FakeAV.EJ (F-Prot)
Win32:FraudLoad-SB (Avast)
Win32/Adware.XPAntiSpyware.AA (NOD32)
Win32/FakeAlert.HT (eTrust-Vet)
[url]http://www.virustotal.com/ru/analisis/e4aa78ef8f3a75b42bccea2be8bb9c80[/url]
[b]Описание[/b]
Скачивает с сайта [b]downloadsoftindex.com[/b] и запускает программу [b]XP Antispyware 2009[/b](Trojan.Win32.FraudPack.gju), имитирующую работу антишпионской программы. [b]XP Antispyware 2009[/b] находит не существующие вредоносные файлы и предлагает зарегистрироваться на сайте [b]xpas2009.com[/b] за 50$ для того чтобы удалить их (на следующей странице уже указана другая цена - $75.95).
[b]Встречен в темах[/b]
[thread]32446[/thread]
[thread]32456[/thread]
[thread]32505[/thread]
[thread]32856[/thread]
[thread]33185[/thread]
[b]Файлы на диске[/b]
C:\WINDOWS\system32\wini10806.exe (цифры в имени случайные)
C:\Program Files\XP_AntiSpyware\Uninstall.exe
72660 байт
Trojan.Win32.Pakes.lel и FraudTool.Win32.XPSecurityCenter.bn
[b]Алиасы[/b]
Downloader.MisleadApp (Symantec)
Downloader.Zlob.AEXO (AVG)
OScope.Downloader.Braviax.3 (VBA32)
Packer.Malware.Lighty.I (BitDefender)
Spyware.Pakes.9728.B (ViRobot)
TR/Pakes.lel (AntiVir)
TROJ_PAKES.GA (TrendMicro)
Trojan-Downloader.MisleadApp!sd6 (PCTools)
Trojan:Win32/Renos.I (Microsoft)
Trojan.Click.19754 (DrWeb)
Trojan.Pakes.lel (CAT-QuickHeal)
Trojan.Renos.ATC (VirusBuster)
W32/FakeAlert.LEL!tr (Fortinet)
W32/Lighty.E (Norman)
Win-Trojan/Pakes.9728.G (AhnLab-V3)
Win32: Lighty-B (Avast)
Win32/FakeAlert.HU (eTrust-Vet)
[url]http://www.virustotal.com/ru/analisis/f3717fbb05b9157b648515259ec89c0b[/url]
[b]Описание[/b]
Показывает в трее красный круг с белым иксом.
Показывает всплывающее сообщение:
[quote]
[b]You computer is infected![/b]
Windows has detected spyware infection!
It is recommended to use special antispyware tools to prevent
data loss.Windows will now download and install the most
up-to-date antispyware for you.
Click here to protect you computer from spyware!
[/quote]
Устанавливает [url]http://www.google.com[/url] как стартовую страницу Internet Explorer.
Включает использование элементов ActiveX не помеченных как безопасные.
Отключает сообщения Центра Безопасности Windows о выключенном Брандмауэре, антивирусе и Автоматическом обновлении Windows.
Содержит имена доменов:
do-scan-progress.com
do-make-progress.com
do-progress.com
do-managed-scan.com
do-power-scan.com
do-step-scan.com
do-monster-progress.com
do-monsterscan.com
do-powerscan.com
do-stepscan.com
domonster-progress.com
domonster-scan.com
dopower-scan.com
dostep-scan.com
Обращяется к одному из них и получает переадресацию на файл [b]Installer.exe[/b] (Trojan.Packed.1214) на сайте [b]xpas-2009.com[/b].
Сохраняет его под именем C:\WINDOWS\system32\wini10541.exe и запускает.
Последний в свою очередь закачивает и запускает фальшивый антивирус [b]XP Antispyware 2009[/b] c сайта [b]download-soft-index.com[/b].
[b]Встречен в темах[/b]
[thread]32270[/thread]
[thread]32505[/thread]
[thread]32512[/thread]
[thread]32609[/thread]
[b]Файл на диске[/b]
c:\windows\system32\brastk.exe
9728 байт
[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run,
Ключ реестра HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run,
brastk = c:\windows\system32\brastk.exe
[b]Дополнительные алиасы FraudTool.Win32.XPSecurityCenter.bn[/b]
Adware.XPSecurityCenter.R.10752.B (ViRobot)
Misc/XPSecurityCenter (Fortinet)
Packer.Malware.Lighty.N (BitDefender)
SHeur.CQPD (AVG)
TROJ_VIRANTIX.CX (TrendMicro)
Trojan-Downloader.Win32.Braviax.gf (VBA32)
Trojan.Fakealert.1671 (DrWeb)
Trojan.Virantix!sd6 (PCTools)
Trojan.Virantix.C (Symantec)
TrojanDownloader:Win32/Renos (Microsoft)
W32/FakeAlert.ET (F-Prot)
W32/Virantix.HJ (Norman)
Win32: Lighty-B (Avast)
Win32/FakeAlert.IJ (eTrust-Vet)
Win32/TrojanDownloader.FakeAlert.GU (NOD32)
[url]http://www.virustotal.com/ru/analisis/26722ff719440efecd9f0de8329dc1ba[/url]
[b]Встречен в темах[/b]
[thread]32714[/thread]
[thread]32736[/thread]
[thread]32849[/thread]
[thread]32856[/thread]
[b]Файл на диске[/b]
c:\windows\system32\brastk.exe
10752 байт
Trojan-Downloader.Win32.Exchanger.anm
[b]Алиасы[/b]
TR/Dldr.Exchanger.anm (AntiVir)
Trj/Exchanger.G (Panda)
Trojan.Dldr.Exchanger.anm (SecureWeb-Gateway)
Trojan.Generic.1115750 (BitDefender)
Trojan.PWS.ICQSniff.25 (DrWeb)
TrojanDownloader.Exchanger.an (CAT-QuickHeal)
VirTool:Win32/Obfuscator.CW (Microsoft)
W32/DLoader.KUKW (Norman)
W32/Exchanger.ANM!tr.dldr (Fortinet)
Win32:Rootkit-gen (Avast)
Win32.Exchanger.anm (eSafe)
[url]http://www.virustotal.com/ru/analisis/bd2f2c24c2241976d01587bd1f6d0e65[/url]
[b]Встречен в темах[/b]
[thread]33650[/thread]
[thread]33671[/thread]
[thread]33783[/thread]
[thread]34206[/thread]
[thread]34785[/thread]
[b]Файлы на диске[/b]
c:\windows\msauc.exe
73216 байт
В файле записана ложная информация о версии:
Описание: ApacheBench/SSL command line utility
Copyright 2006 The Apache Software Foundation.
[b]Способ запуска[/b]
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run
lsass driver = C:\WINDOWS\msauc.exe
[b]Внешние проявления [/b](со слов пользователей)
От моего имени ICQ выслал всему контактному листу ссылку на какой-то сайт, хотя в тот день "аську" вообще не включал.
Trojan.Win32.Jorik.Buterat.fyy, Trojan.Win32.Jorik.Buterat.guu, Trojan.Win32.Jorik.Buterat.gsr, Trojan.Win32.Jorik.Buterat.gmd
[b][COLOR="#FF0000"]Алиасы(Trojan.Win32.Jorik.Buterat.fyy):[/COLOR][/b]
Generic29.AKTV (AVG)
Win32:Buterat-PU [Trj] (Avast)
Trojan.Generic.KDV.714643 (BitDefender)
BackDoor.Butirat.91 (DrWeb)
Win32.SuspectCrc!IK (Emsisoft)
a variant of Win32/Injector.VSW (NOD32)
Trojan.Jorik.Buterat.gak (VBA32)
[url]https://www.virustotal.com/file/79073b5cb708b0f05d64e57a93c92ceaab7ddda3d08946a7452bca220b0abb76/analysis/1347285552/[/url]
[b][COLOR="#FF0000"]Встречен в темах:[/COLOR][/b]
[thread]124442[/thread]
[thread]124148[/thread]
[thread]124430[/thread]
[thread]124297[/thread]
[b][COLOR="#FF0000"]Описание:[/COLOR][/b]
[b]Файлы на диске:[/b]
[COLOR="#FF0000"]%AppData%\taskhost.exe[/COLOR]
%AppData%\System.log
%USERPROFILE%\Local Settings\History\History.IE5\index.dat
%USERPROFILE%\Cookies\index.dat
%USERPROFILE%\Local Settings\Temporary Internet Files\Content.IE5
[b]Способ запуска:[/b]
Ключ реестра HKEY_CURRENT_USER, software\Microsoft\Windows\CurrentVersion\Run, Taskhost = "%AppData%\taskhost.exe"
[b]Дополнительно:[/b]
Запрашивает имя компьютера
Запрашивает имя пользователя
Считывает список всех входных имен для удаленного доступа
Запускает службу удаленного доступа RASMAN
[B]Изменяет настройки зон безопасности в IE:[/B]
HKEY_CURRENT_USER, software\microsoft\windows\currentversion\internet settings\zonemap, intranetname = "00000001" (все локальные веб-узлы (не содержащие в своем составе точки), не сопоставленные ни с одной из зон безопасности, будут отнесены к зоне интрасети);
HKEY_CURRENT_USER, software\microsoft\windows\currentversion\internet settings\zonemap, proxybypass = "00000001" (все веб-узлы, подключенные в обход прокси-сервера, будут относиться к зоне интрасети);
HKEY_CURRENT_USER, software\microsoft\windows\currentversion\internet settings\zonemap, uncasintranet = "00000001" (все адреса URL, представляющие сетевой путь, будут относиться к зоне интрасети).
[B]Сетевая активность:[/B]
Выполняет подключение на 37.1.198.131 (Германия) по 80 порту.
Backdoor.Win32.Shiz.fxst, Backdoor.Win32.Shiz.fxtw, Backdoor.Win32.Shiz.fuss, Backdoor.Win32.Shiz.fwah, Backdoor.Win32.Shiz.fvyh
[b][COLOR="#FF0000"]Алиасы(Backdoor.Win32.Shiz.fxst):[/COLOR][/b]
Win32:Malware-gen (Avast)
Gen:Variant.Kazy.91307 (BitDefender)
Trojan.PWS.Ibank.456 (DrWeb)
a variant of Win32/Kryptik.ALNB (NOD32)
Trojan.Jorik.Buterat.gak (VBA32)
[url]https://www.virustotal.com/file/814840494a7aba71263eaeae40860081af6421ad2efd9761c13bce35f9984377/analysis/1347464720/[/url]
[b][COLOR="#FF0000"]Встречен в темах:[/COLOR][/b]
[thread]124333[/thread]
[thread]124374[/thread]
[thread]124231[/thread]
[thread]124249[/thread]
[thread]124243[/thread]
[b][COLOR="#FF0000"]Описание:[/COLOR][/b]
[b]Файлы на диске:[/b]
[COLOR="#FF0000"]%Windir%\AppPatch\<random>.exe[/COLOR]
%Temp%\<random>.tmp
[b]Способ запуска:[/b]
Ключи реестра:
HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, userinit = "%Windir%\AppPatch\<random>.exe"
HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit = "%Windir%\AppPatch\<random>.exe"
HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, System = "%Windir%\AppPatch\<random>.exe"
HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Windows, Run = "%Windir%\AppPatch\<random>.exe"
HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Windows, Load = "%Windir%\AppPatch\<random>.exe"
Файл win.ini:
windows, load
windows, run
[b]Дополнительно:[/b]
Работает в фоновом режиме и позволяет осуществлять удаленный доступ к зараженной системе
Trojan-Spy.Win32.Carberp.pky, Trojan-Spy.Win32.Carberp.plz, Trojan-Spy.Win32.Carberp.cmz
[b][COLOR="#FF0000"]Алиасы(Trojan-Spy.Win32.Carberp.pky):[/COLOR][/b]
PSW.Generic10.JFA (AVG)
Win32:Carberp-AIL [Trj] (Avast)
Trojan.Generic.KDV.698074 (BitDefender)
Trojan.Carberp.647 (DrWeb)
Trojan-Spy.Win32.Carberp!IK (Emsisoft)
Win32/TrojanDownloader.Carberp.AF (NOD32)
Trojan.Gen (Symantec)
[url]https://www.virustotal.com/file/f50c0428ed73d424719e874871f46a4d79bc54e4b3fdc68b0f9bd3d57bded5c2/analysis/[/url]
[b][COLOR="#FF0000"]Встречен в темах:[/COLOR][/b]
[thread]124627[/thread]
[thread]123855[/thread]
[thread]123610[/thread]
[b][COLOR="#FF0000"]Описание:[/COLOR][/b]
[b]Файлы на диске:[/b]
[COLOR="#FF0000"]%папка автозагрузки текущего пользователя%\<random>.exe[/COLOR]
%allusersprofile%\<random>\klpclst.dat
%allusersprofile%\<random>\wndsksi.inf
несколько файлов вида: %LocalSettings%\temp\<random>.tmp
[B]Каталоги на диске:[/B]
%CommonAppData%\IBank
%allusersprofile%\<random>
Создает процессы:
%WinDir%\explorer.exe
%WinDir%\system32\svchost.exe
Создает ключ реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5FB17DE5-379C-188F-5FB1-7DE5379C188F}
[b]Способ запуска:[/b]
%папка автозагрузки текущего пользователя%\<random>.exe
[b]Дополнительно:[/b]
Запрашивает имя компьютера
Загружает в свое адресное пространство библиотеки криптографии rsaenh.dll и crypt32.dll
[B]Сетевая активность:[/B]
Выполняет подключение на 93.115.240.2(Румыния), 195.208.1.124(Россия).
Выполняет запрос к DNS на доменные имена:
[CODE]www4.smartadserver.com
ced.sascdn.com
ad.adriver.ru
ar.tns-counter.ru
abibasss223.ru
pipiskaaaa2.ru
jjonnnyh23.ru
www.loktrans.ru[/CODE]
Backdoor.Win32.Buterat.dpiv, Trojan.Win32.Jorik.Buterat.uqp
[b][COLOR="#FF0000"]Алиасы(Backdoor.Win32.Buterat.dpiv):[/COLOR][/b]
BackDoor.Generic16.DD (AVG)
Win32:Trojan-gen (Avast)
Gen:Variant.Zusy.22589 (BitDefender)
BackDoor.Butirat.201 (DrWeb)
Gen:Trojan.Heur.RP.hyW@a8TclNgk (B) (Emsisoft)
a variant of Win32/Injector.XVR (NOD32)
WS.Reputation.1 (Symantec)
[url]https://www.virustotal.com/file/3b6305bb2bd66109bd3943e4e96ad0287f804e9a9d68a0043fc4f27bb1d3cf48/analysis/1353178211/[/url]
[b][COLOR="#FF0000"]Встречен в темах:[/COLOR][/b]
[thread]127135[/thread]
[thread]126785[/thread]
[thread]126427[/thread]
[b][COLOR="#FF0000"]Описание:[/COLOR][/b]
[b]Файлы на диске:[/b]
[COLOR="#FF0000"]%USERPROFILE%\Application Data\Microsoft\taskhost.exe[/COLOR]
или
[COLOR="#FF0000"]%USERPROFILE%\Application Data\lsass.exe[/COLOR]
%USERPROFILE%\Application Data\Microsoft\txt.exe ([B]Trojan.Win32.Buzus[/B] [Kaspersky])
%USERPROFILE%\Application Data\Microsoft\System.log
%USERPROFILE%\Cookies\cf
%USERPROFILE%\Cookies\index.dat
%USERPROFILE%\Local Settings\History\History.IE5\index.dat
%USERPROFILE%\Local Settings\Temporary Internet Files\Content.IE5\<random>.html
%USERPROFILE%\Local Settings\Temporary Internet Files\Content.IE5\index.dat
%USERPROFILE%\Мои документы\AddIterra\<random>.dll
%USERPROFILE%\Мои документы\AddIterra\<random>.reg
%USERPROFILE%\Мои документы\Iterra\<random>.tmp
%USERPROFILE%\Мои документы\Iterra\<random>.reg
[B]Каталоги на диске:[/B]
%USERPROFILE%\Мои документы\AddIterra
%USERPROFILE%\Мои документы\Iterra
[B]Создает ключ реестра:[/B]
HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs = %USERPROFILE%\Мои документы\AddIterra\<random>.dll
[b]Способ запуска:[/b]
HKEY_CURRENT_USER\current\software\Microsoft\Windows\CurrentVersion\Run\Taskhost = %USERPROFILE%\Application Data\Microsoft\taskhost.exe
или
HKEY_CURRENT_USER\current\software\Microsoft\Windows\CurrentVersion\Run\Taskhost = %USERPROFILE%\Application Data\lsass.exe
[b]Дополнительно:[/b]
Запрашивает имя компьютера
Запрашивает имя пользователя
Запускает службу удаленного доступа RASMAN
Запускает службу уведомления о системных событиях SENS
[B]Сетевая активность:[/B]
[CODE]ulotrol.net
getcomdes.com
getinball.com
debijonda.com
veroconma.com
theloamva.com
vornedix.com
dentagod.com
liteworns.com
vengibit.com
tryangets.com
getintsu.com
detoxist.com
veroconma.com
94.250.248.53
37.230.112.104
91.220.35.154
http://ulotrol.net/941/85.html
http://ulotrol.net/213/84.html
http://ulotrol.net/816/904.html
http://ulotrol.net/469/897.html
http://37.230.112.104/544/776.html
http://ulotrol.net/413/135.html[/CODE]
Trojan-Spy.Win32.Zbot.jmfj
[b][COLOR="#FF0000"]Алиасы(Trojan-Spy.Win32.Zbot.jmfj):[/COLOR][/b]
Dropper.Generic7.CAXS (AVG)
Win32:Vundo-AAV [Trj] (Avast)
Gen:Trojan.Heur.JP.huW@aSrUvNik (BitDefender)
Trojan.Carberp.647 (DrWeb)
Trojan-Spy.Win32.Carberp!IK (Emsisoft)
Win32/TrojanDownloader.Carberp.AF (NOD32)
Trojan.Gen (Symantec)
[url]https://www.virustotal.com/ru/file/d841384f8733ab244f8284a4e0de7c04c430fdb1534b1d5e50deef1b84b6e3d7/analysis/1362901110/[/url]
[b][COLOR="#FF0000"]Встречен в темах:[/COLOR][/b]
[thread]134555[/thread]
[b][COLOR="#FF0000"]Описание:[/COLOR][/b]
[b]Файлы на диске:[/b]
[COLOR="#FF0000"]<папка запуска>\<random.exe>[/COLOR] (например, [B]%Userprofile%\AppData\Local\Temp\7smbeohv.exe[/B])
<папка запуска>\<???.exe> , где ? - цифра (Kaspersky: UDS: DangerousObject.Multi.Generic)
[b]Способ запуска:[/b]
Создает задание [B]%windir%\tasks\<random.job>[/B], которое каждые 10 минут запускает файл [COLOR="#FF0000"]<папка запуска>\<random.exe>[/COLOR] (например, [B]%Userprofile%\AppData\Local\Temp\7smbeohv.exe[/B])
[B]Сетевая активность:[/B]
[CODE]* Connects to "64.62.191.222" on port 80.
Connects to "127.0.0.1" on port 1037.
Connects to "64.62.191.222" on port 4321.
Connects to "5.61.32.83" on port 80 (TCP - HTTP).
Connects to "5.61.42.100" on port 80 (TCP - HTTP).
* Opens next URLs:
http://bvq7jz2rk.kifspa.net/542/90.html
http://bvq7jz2rk.kifspa.net/386/71.html
http://bvq7jz2rk.kifspa.net/7/885.html
http://bvq7jz2rk.kifspa.net/22/303.html
http://bvq7jz2rk.kifspa.net/708/244.html
http://xudywufas.smaram.info/71/142.html
http://bvq7jz2rk.kifspa.net/796/601.html
[/CODE]
[B][COLOR="#FF0000"]Запускает созданный файл <папка запуска>\<???.exe>[/COLOR][/B]
[B]Дальше то, что делает файл <папка запуска>\<???.exe>[/B]
[B]Каталоги на диске:[/B]
%Program Files%\<папка>\<папка> (например, [I]%Program Files%\suda nana stavit etot soft\111 222 333 444 555[/I], [I]%Program Files%\i pomoch drudu csegda gotov\eslib iz zadnitsi sipalis dengi[/I])
[b]Файлы на диске[/b] ([I]имена файлов и их содержание могут быть другими!!![/I]):
%Program Files%\<папка>\<папка>\Elephantsarelargemammals.bat
[spoiler]
убрал
[/spoiler]
%Program Files%\<папка>\<папка>elephanttalk.lyrics
%Program Files%\<папка>\<папка>elephanttalk.vbs
[spoiler]
убрал
[/spoiler]
%Program Files%\<папка>\<папка>LearnallyouwantedtoknowaboutAfrican.elephants
%Program Files%\<папка>\<папка>LearnallyouwantedtoknowaboutAfrican.vbs
[spoiler]
убрал
[/spoiler]
%Program Files%\<папка>\<папка>most complete version at.Patara
%Program Files%\<папка>\<папка>ofthefamilyElephantidaeandtheorder.proboscidea
%Program Files%\<папка>\<папка>Uninstall.exe
%Program Files%\<папка>\<папка>Uninstall.ini
%userprofile%\Cookies\index.dat
%userprofile%\Local Settings\History\History.IE5\index.dat
%userprofile%\Local Settings\Temporary Internet Files\Content.IE5\index.dat
[B]Файл hosts:[/B]
добавляет строки:
[CODE]69.197.136.118 my.mail.ru
69.197.136.118 m.my.mail.ru
69.197.136.118 vk.com
69.197.136.118 ok.ru
69.197.136.118 m.vk.com
69.197.136.118 odnoklassniki.ru
69.197.136.118 vk.com
69.197.136.118 [url]www.odnoklassniki.ru[/url]
69.197.136.118 m.odnoklassniki.ru
69.197.136.118 ok.ru
69.197.136.118 m.ok.ru
69.197.136.118 [url]www.odnoklassniki.ru[/url][/CODE]
Создает пустой файл [I]%windir%\system32\drivers\etc\h[COLOR="#FF0000"]о[/COLOR]sts[/I], [COLOR="#FF0000"]о[/COLOR]-русская
[b]Дополнительно:[/b]
Запрашивает имя компьютера
Запрашивает имя пользователя
Запускает службу удаленного доступа RASMAN
Запускает службу уведомления о системных событиях SENS
[B]Сетевая активность:[/B]
[CODE]* Connects to "64.62.191.222" on port 80.
Connects to "127.0.0.1" on port 1037.
Connects to "64.62.191.222" on port 4321.
[/CODE]
