Актуальные зловреды

Printable View

Показывать 40 сообщений этой темы на одной странице

23.03.2013, 00:30
Techno

Trojan.Win32.ShipUp

[b][COLOR="#FF0000"]Алиасы(Trojan.Win32.ShipUp.bnl):[/COLOR][/b]
PSW.Generic10.CGJJ (AVG)
Win32:Zbot-QQQ [Trj] (Avast)
Trojan.Generic.KDV.895853 (BitDefender)
Trojan.BrowseBan.515 (DrWeb)
Trojan.Win32.ShipUp.AMN (A) (Emsisoft)
a variant of Win32/Kryptik.AWQH (NOD32)
Backdoor:Win32/Ursap!rts (Microsoft)
[url]https://www.virustotal.com/ru/file/d0ea6f23a54126ecfe8120d21726fdd15da3dc84d47c4eb489746266f86a340a/analysis/1363983700/[/url]

[b][COLOR="#FF0000"]Встречен в темах:[/COLOR][/b]
[thread]135590[/thread]
[thread]135320[/thread]
[thread]135564[/thread]
[thread]135548[/thread]
[thread]135242[/thread]

[b][COLOR="#FF0000"]Описание:[/COLOR][/b]
[b]Файлы на диске:[/b]
%Application Data%\Mozilla\<random>.exe
или
%programm_files%\Mozilla\<random>.exe

[COLOR="#FF0000"]%Application Data%\Mozilla\<random>.dll[/COLOR]
или
[COLOR="#FF0000"]%programm_files%\Mozilla\<random>.dll[/COLOR]

[B]Каталоги на диске:[/B]
%Application Data%\Mozilla[COLOR="#FF0000"]***[/COLOR]
или
%programm_files%\Mozilla

[b]Способ запуска:[/b]
HKLM\software\microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs = %Application Data%\Mozilla\<random>.dll
или
HKLM\software\microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs = %programm_files%\Mozilla\<random>.dll

Создает задание %windir%\tasks\<random.job>, которое при каждой загрузке компьютера запускает файл %Application Data%\Mozilla\<random>.exe или %programm_files%\Mozilla\<random>.exe с каким то параметром (например, [B]%Application Data%\Mozilla\oqdbitd.exe -nehikwj[/B])

Это задание дропает вредоносную библиотеку и прописывает её в AppInit_DLLs.

[COLOR="#FF0000"]***[/COLOR]Если в системе установлен браузер Firefox, то удалять папку %AppData%\mozilla целиком не стоит, в ней хранятся настройки браузера.
24.03.2013, 18:01
Techno

Ошибся, папка всегда имеет путь %ALLUSERSPROFILE%\Mozilla.

Просто на xp это папка [B]C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla[/B](C:\Documents and Settings\All Users\Application Data\Mozilla), а на семерке [B]C:\PROGRA~3\Mozilla[/B](c:\ProgramData\Mozilla)
27.03.2013, 13:42
Techno

not-a-virus:RiskTool.Win32.BitCoinMiner

[COLOR="#FF0000"][B]Алиасы(not-a-virus:RiskTool.Win32.BitCoinMiner.bzj):[/B][/COLOR]
Win32:Malware-gen (Avast)
Trojan.Generic.KDV.760200 (BitDefender)
Trojan.BtcMine.66 (DrWeb)
Trojan.Generic.KDV.760200 (B) (Emsisoft)
a variant of Win32/BitCoinMiner.H (NOD32)

[url]https://www.virustotal.com/ru/file/04e745045c09a390808fc5d2f87104cba309d74f26b7e498f961f3069aeb2cc1/analysis/1364375988/[/url]

[COLOR="#FF0000"][B]Встречен в темах:[/B][/COLOR]
[thread]135882[/thread]
[thread]135816[/thread]
[thread]135816[/thread]

[B][COLOR="#FF0000"]Подробнее:[/COLOR][/B]

[B]Файлы на диске:[/B]
[COLOR="#FF0000"]%ProgramFiles%\Mesa_3d\gal_st1.dll[/COLOR]
%ProgramFiles%\Mesa_3d\arcus.rar ([I]запароленный архив с [COLOR="#0000FF"]файлами, отмеченными синим цветом[/COLOR][/I])
%appdata%\tor\cached-certs
%appdata%\tor\cached-consensus
%appdata%\tor\cached-descriptors
%appdata%\tor\cached-descriptors.new
%appdata%\tor\lock
%appdata%\tor\state
[COLOR="#0000FF"]%tmp%\gallium3d.exe
%tmp%\libeay32.dll
%tmp%\libgcc_s_dw2-1.dll
%tmp%\mingwm10.dll
%tmp%\msvdn.exe[/COLOR] (kaspersky: not-a-virus:NetTool.Win32.Tor.d)
[COLOR="#0000FF"]%tmp%\nvcuda.dll
%tmp%\opencl.dll
%tmp%\Perflib_Perfdata_744.dat
%tmp%\ssleay32.dll
%tmp%\svchost.exe
%tmp%\torrc[/COLOR]

[B]Каталоги на диске:[/B]
%appdata%\tor
%ProgramFiles%\Mesa_3d

[B]Способ запуска:[/B]
HKLM\software\microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs = %ProgramFiles%\Mesa_3d\gal_st1.dll

[B]Сетевая активность:[/B]
[CODE]%tmp%\msvdn.exe Connects to "109.105.109.162" on port 60784 (TCP).
%tmp%\msvdn.exe Connects to "185.5.173.185" on port 9001 (TCP).
%tmp%\msvdn.exe Connects to "84.19.178.6" on port 9001 (TCP).
%tmp%\msvdn.exe Connects to "85.17.122.79" on port 443 (TCP - HTTPS).[/CODE]

[B]Описание:[/B]
[COLOR="#FF0000"]Файл %ProgramFiles%\Mesa_3d\gal_st1.dll распаковывает архив[COLOR="#000000"]*[/COLOR] %ProgramFiles%\Mesa_3d\arcus.rar в папку %tmp% и запускает файл %tmp%\gallium3d.exe[/COLOR]
Файл %tmp%\gallium3d.exe создает процессы:
[CODE]"%tmp%\msvdn.exe" -f torrc
%tmp%\svchost.exe[/CODE]
Из всех файлов нормально детектится антивирусами только %tmp%\svchost.exe

[I]*предположительно, дроппер библиотеки gal_st1.dll, также копирует в систему легитимную библиотеку unrar.dll, которая нужна для распаковки архива arcus.rar.[/I]

Показывать 40 сообщений этой темы на одной странице