Показано с 1 по 2 из 2.

BackDoor.Monsh (Drweb)

  1. #1
    Junior Member Репутация
    Регистрация
    19.09.2007
    Адрес
    Пермский край
    Сообщений
    42
    Вес репутации
    39

    BackDoor.Monsh (Drweb)

    BackDoor.Monsh (Drweb) или W32.Xema.A (Symantec) ,
    для KAV (officexp.exe, ~WR00001.doc, c_10810.nls, c_20462.nls, w1234.exe, windfire.exe - Trojan-Spy.Win32.Agent.qj,
    deskinf.pif - Backdoor.Win32.Agobot.h)
    ОС windows xp sp2 pro
    Файлы ( ~WR00001.doc, c_10810.nls, c_20462.nls,c_19460.nls,
    w1234.exe,windfire.exe ) имеют одинаковый размер 118,1 килобайт и
    упакованы UPX
    (хотя может и остальные тоже)
    Полный список заражаемых файлов(выявленный drweb)
    Первый способ заражения: автозапуск со сменных носителей (вероятно
    нужны права администратора )
    "X:\autorun.inf" (иногда X:\autorun.inf_{сочетание букв и цифр}) Файл
    ссылается
    Извиняюсь что в авторские залез .... слабовато для них !
    на X:\Recycled\deskinf.pif
    "X:\Recycled\deskinf.pif" Файл ссылается на X:\Recycled\~WR00001.doc

    "X:\Recycled\~WR00001.doc"
    Где X- любой сменный диск
    Второй способ - автозагрузка
    "С:\Documents and Settings\user\Рабочий стол\Автозагрузка\officexp.exe"
    ( короче папка автозагрузки
    на "Рабочем столе" у заражённого пользователя)
    Остальные файлы вируса
    "C:\Windows\system32\c_10810.nls"
    "C:\Windows\system32\c_20462.nls"
    "C:\Windows\system32\c_19460.nls"
    "C:\Windows\system32\w1234.exe"
    "C:\Windows\system32\windfire.exe"
    "C:\Windows\system32\inter32.dll"
    "C:\Windows\system32\shell64.dll"
    "C:\Windows\system32\shlmon.exe"
    Пролечился с CureIt (обязательно перезагрузитесь после первой проверки дисков и повторите её снова на системном диске)
    Восстановление системы перед операцией нужно отлючить.
    AVZ 4.27 на него уже реагирует.

    Более официальное описание http://safe.cnews.ru/bugtrack/entry/...7/06/11/101200 ,но уменя была другая модификация.
    + "W32.Xema.A" на странице http://83.149.99.14/forums/index.php...0&#entry286986
    Зря в авторские залез .... слабовато!
    Последний раз редактировалось stopka2top; 25.09.2007 в 08:25. Причина: правка

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2269
    Цитата Сообщение от stopka2top Посмотреть сообщение
    Зря в авторские залез .... слабовато!
    Надо же с чего-то начинать. Следующие будут лучше.

Похожие темы

  1. Ответов: 6
    Последнее сообщение: 19.08.2011, 14:34
  2. DrWeb CureIt - backdoor.bulknet.507
    От s76 в разделе Помогите!
    Ответов: 7
    Последнее сообщение: 25.09.2010, 20:29
  3. Ответов: 10
    Последнее сообщение: 22.02.2009, 08:12
  4. Backdoor.IRC.Mishko (DrWeb)
    От Лангольер в разделе Помогите!
    Ответов: 14
    Последнее сообщение: 16.09.2007, 11:02
  5. Microsoft WMSRT - Backdoor:Win32/Hackdef.L в spiderml.exe от DrWeb
    От MOCT в разделе Ложные срабатывания
    Ответов: 1
    Последнее сообщение: 20.11.2006, 06:42

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01189 seconds with 16 queries