AdWare.Win32.BHO.cc и Trojan.Win32.ConnectionServices.e
[b]Алиасы[/b]
ADSPY/Bitaccel.A (AntiVir)
Adware Generic2.PHX (AVG)
Adware.Generic.9029 (BitDefender)
AdWare.BHO.cc (CAT-QuickHeal)
Adware.BHO-50 (ClamAV)
Adware.BitAcc (DrWeb)
W32/Adware.YIH (F-Prot)
Adware/BHO.L (Panda)
BitAccelerator (Sophos)
Adware.BHO.PW (VirusBuster)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=15520[/url]
[url]http://virusinfo.info/showthread.php?t=15997[/url]
[url]http://virusinfo.info/showthread.php?t=16014[/url]
[url]http://virusinfo.info/showthread.php?t=16094[/url]
[url]http://virusinfo.info/showthread.php?t=16128[/url]
[url]http://virusinfo.info/showthread.php?t=16315[/url]
[url]http://virusinfo.info/showthread.php?t=16551[/url]
[url]http://virusinfo.info/showthread.php?t=16814[/url]
[url]http://virusinfo.info/showthread.php?t=16980[/url]
[url]http://virusinfo.info/showthread.php?t=17187[/url]
[url]http://virusinfo.info/showthread.php?t=17315[/url]
[url]http://virusinfo.info/showthread.php?t=17588[/url]
[b]Файлы на диске[/b]
C:\Program Files\BitAccelerator\BitAccelerator.dll
C:\Program Files\BitAccelerator\BitAccelerator.exe
[b]Способ запуска[/b]
C:\Program Files\BitAccelerator\BitAccelerator.dll BHO {92860A02-4D69-48c1-82D7-EF6B2C609502}
Trojan.Win32.ConnectionServices.m
[b]Алиасы[/b]
ADSPY/Bho.KJ (AntiVir)
Adware Generic2.VJU (AVG)
Adware.BitAcc (DrWeb)
W32/Adware.ZOK (F-Prot)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=15520[/url]
[url]http://virusinfo.info/showthread.php?t=16014[/url]
[url]http://virusinfo.info/showthread.php?t=16048[/url]
[url]http://virusinfo.info/showthread.php?t=16050[/url]
[url]http://virusinfo.info/showthread.php?t=16094[/url]
[url]http://virusinfo.info/showthread.php?t=16128[/url]
[url]http://virusinfo.info/showthread.php?t=16315[/url]
[url]http://virusinfo.info/showthread.php?t=16348[/url]
[url]http://virusinfo.info/showthread.php?t=16456[/url]
[url]http://virusinfo.info/showthread.php?t=16489[/url]
[url]http://virusinfo.info/showthread.php?t=16416[/url]
[url]http://virusinfo.info/showthread.php?t=16511[/url]
[url]http://virusinfo.info/showthread.php?t=16760[/url]
[url]http://virusinfo.info/showthread.php?t=16769[/url]
[url]http://virusinfo.info/showthread.php?t=16814[/url]
[url]http://virusinfo.info/showthread.php?t=16865[/url]
[url]http://virusinfo.info/showthread.php?t=17315[/url]
[url]http://virusinfo.info/showthread.php?t=17510[/url]
[url]http://virusinfo.info/showthread.php?t=17588[/url]
[b]Файлы на диске[/b]
C:\Program Files\ConnectionServices\ConnectionServices.dll
[b]Способ запуска[/b]
C:\Program Files\ConnectionServices\ConnectionServices.dll BHO {6D7B211A-88EA-490c-BAB9-3600D8D7C503}
Trojan-Downloader.Win32.Agent.ggt
[b]Алиасы[/b]
Generic9.AGXO (AVG)
Trojan.Kobcka.BY (BitDefender)
Trojan.Downloader-18735 (ClamAV)
BackDoor.Bulknet.112 (DrWeb)
Win32.Agent.ggt (eSafe)
Downloader.Agent.ggt (Ewido)
W32/Pushu.GGT!tr.dldr (Fortinet)
Generic.dx (McAfee)
VirTool:WinNT/Cutwail.F (Microsoft)
Win32/Wigon.AH (NOD32v2)
RootKit.Win32.Mnless.et (Rising)
Trojan-Downloader.Win32.Agent.gh (Sunbelt)
Trojan.Pandex (Symantec)
Trojan/Downloader.Agent.ggt (TheHacker)
Trojan.Wigon.C (VirusBuster)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=15476[/url]
[url]http://virusinfo.info/showthread.php?t=15608[/url]
[url]http://virusinfo.info/showthread.php?t=15660[/url]
[url]http://virusinfo.info/showthread.php?t=15989[/url]
[url]http://virusinfo.info/showthread.php?t=16060[/url]
[url]http://virusinfo.info/showthread.php?t=16202[/url]
[url]http://virusinfo.info/showthread.php?t=16213[/url]
[url]http://virusinfo.info/showthread.php?t=16257[/url]
[url]http://virusinfo.info/showthread.php?t=16509[/url]
[url]http://virusinfo.info/showthread.php?t=16595[/url]
[url]http://virusinfo.info/showthread.php?t=16852[/url]
[url]http://virusinfo.info/showthread.php?t=17455[/url]
[url]http://virusinfo.info/showthread.php?t=17707[/url]
[url]http://virusinfo.info/showthread.php?t=19242[/url]
[b]Файлы на диске[/b]
Имя файла случайное, состоит из трех букв и двух цифр. Например:
C:\WINDOWS\system32\drivers\Taf40.sys
C:\WINDOWS\System32\drivers\Cyb60.sys
размер 21760 байт.
Обычно, есть копия этого трояна в папке C:\WINDOWS
[b]Способ запуска[/b]
Драйвер: Cyb60 C:\WINDOWS\System32\Drivers\Cyb60.sys Группа: SCSI Class
(имя драйвера = имя файла)
[b]Внешние проявления [/b]
Файл с соответствующем именем в списках "Модули пространства ядра" и
Драйверы.
Trojan-Downloader.Win32.Dirat.aw
[b]Алиасы[/b]
Infostealer.Gampass (Symantec)
Mal/Basine-C (Sophos)
Trj/ProxyServer.AS (Panda)
Trojan.Downloader-20037 (ClamAV)
Trojan.MulDrop.8347 (DrWeb)
Trojan.Proxy.Metro.D (BitDefender)
TrojanDownloader.Dirat.aw (CAT-QuickHeal)
W32/Basine.AW!tr.dldr (Fortinet)
W32/Downldr2.AUYI (F-Prot)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=15990[/url]
[url]http://virusinfo.info/showthread.php?t=16083[/url]
[b]Файлы на диске[/b]
c:\windows\system32\vhosts.exe
19968 байт
MD5=5C1321793E369D890695FECED14B1AAC
использует трояна в файле MSCORE.DLL
[b]Способ запуска[/b]
Служба msupdate "Microsoft security update service" c:\windows\system32\vhosts.exe
Trojan-Spy.Win32.Banker.hbo
[b]Алиасы[/b]
Logger.Banker.hbo (Ewido)
PSW.Banker4.NBL (AVG)
TR/Spy.Banker.hbo (AntiVir)
Trojan-Spy.Banker.hbo (Sunbelt)
Trojan.Banker.Delf.YBG (BitDefender)
Trojan.PWS.Banker.14622 (DrWeb)
Trojan/Spy.Banker.hbo (TheHacker)
TrojanSpy.Banker.hbo (CAT-QuickHeal)
W32/Banker.BCCW (F-Prot)
W32/Banker.HBO!tr.spy (Fortinet)
Win32.Banker.hbo (eSafe)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16120[/url]
[url]http://virusinfo.info/showthread.php?t=16133[/url]
[url]http://virusinfo.info/showthread.php?t=16600[/url]
[b]Файлы на диске[/b]
C:\WINDOWS\explorer.exe:submitter5.jpg
MD5=16DC64AD2DB4473405AA0631A72020D1
280064 байт
Это альтернативный поток системного файла. Не удаляйте C:\WINDOWS\explorer.exe !!!
[b]Способ запуска[/b]
?
Функционирует как модуль процесса c:\windows\explorer.exe
[b]Внешние проявления [/b](со слов пользователей)
Explorer.exe в процессах кушает 99% системных ресурсов, помогает только его закрытие и повторный запуск.
При сканировании диска AVZ обнаруживает:
c:\windows\explorer.exe:submitter5.jpg:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
Trojan-Spy.Win32.Broker.ap
[b]Алиасы[/b]
Infostealer.Banker.C (Symantec)
PSW.Generic5.AFBZ (AVG)
PWS:Win32/Bankrypt.gen (Microsoft)
TR/Spy.Broker.ap (AntiVir)
Trj/Sinowal.HM (Panda)
Trojan.Proxy.2486 (DrWeb)
Trojan.Spy.Brokrypt.A (BitDefender)
Trojan.Zbot-159 (ClamAV)
Trojan/Spy.Broker.ao (TheHacker)
TrojanSpy.Broker.ap (CAT-QuickHeal)
W32/Agent.BRW!tr (Fortinet)
W32/Banker.CEEY (Norman)
W32/Trojan2.TRP (F-Prot)
[b]Встречен в темах[/b]
[url]http://virusinfo.info/showthread.php?t=16051[/url]
[url]http://virusinfo.info/showthread.php?t=16112[/url]
[url]http://virusinfo.info/showthread.php?t=16621[/url]
[b]Описание[/b]
Похищает ценную информацию с зараженного компьютера.
Внедряет свой код во все процессы кроме CSRSS.EXE
Удаляет cookies в кеше Internet Explorer для того чтобы пользователям пришлось заново вводить пароли когда они входят на сайты банков.
Считывает пароли из защищенного хранилища.
Может выполнять следующие действия:
- перехватывать сетевой трафик;
- перехватывать ввод с клавиатуры;
- считывать информацию из буфера Windows;
- захватывать изображение с экрана;
- перенаправлять сетевой трафик.
- загружать собранную информацию на удаленный сайт по FTP протоколу.
[url]http://www.symantec.com/security_response/writeup.jsp?docid=2007-040208-5335-99&tabid=2[/url] (англ.)
[b]Файлы на диске[/b]
C:\WINDOWS\System32\ntos.exe
[b]Способ запуска[/b]
Ключи реестра
HKEY_USERS
.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, userinit
HKEY_LOCAL_MACHINE
Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit