-
Trojan-Downloader.Win32.Agent.hbs
Алиасы
Downloader.Agent.hbs (Ewido)
Downloader.Agent.ZQF (AVG)
TR/Dldr.Agent.hbs.8 (AntiVir)
Trojan.DownLoader.39204 (DrWeb)
Trojan.Downloader.Agent.YZD (BitDefender)
Trojan/Downloader.Agent.hbs (TheHacker)
TrojanDownloader.Agent.hbs (CAT-QuickHeal)
VirTool:WinNT/Cutwail.F (Microsoft)
Win32/Wigon.AJ (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=16202
http://virusinfo.info/showthread.php?t=16213
http://virusinfo.info/showthread.php?t=16257
http://virusinfo.info/showthread.php?t=18302
Файлы на диске
Имя файла случайное, состоит из трех букв и двух цифр. Например:
C:\WINDOWS\System32\Drivers\Tbi07.sys
C:\WINDOWS\system32\Drivers\Hnr04.sys
размер 24832 байт.
Способ запуска
Драйвер: Tbi07 C:\WINDOWS\System32\Drivers\Tbi07.sys Группа: SCSI Class
(имя драйвера = имя файла)
Внешние проявления
Файл с соответствующем именем с списках "Модули пространства ядра" и
Драйверы.
Последний раз редактировалось AndreyKa; 20.02.2008 в 09:38.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Trojan.Win32.Agent.dur
Алиасы
BehavesLike:Win32.ExplorerHijack (BitDefender)
Covert.Code (Prevx1)
Mal/Behav-150 (Sophos)
SHeur.ALGN (AVG)
Trj/Agent.HQV (Panda)
Trojan.Agent.dur (CAT-QuickHeal)
W32/Smalltroj.BVJU (Norman)
Win-Trojan/Agent.25600.CY (AhnLab-V3)
Встречен в темах
http://virusinfo.info/showthread.php?t=16229
http://virusinfo.info/showthread.php?t=16236
Файлы на диске
c:\windows\system32\svchost.exe:ext.exe:$DATA
Это альтернативный поток системного файла. Не удаляйте C:\WINDOWS\system32\svchost.exe !!!
25600 байт
Способ запуска
Служба FCI C:\WINDOWS\system32\svchost.exe:ext.exe
Внешние проявления
При сканировании диска AVZ выдает в лог сообщение:
c:\windows\system32\svchost.exe:ext.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
-
-
Trojan-Downloader.Win32.Bensorty.fu
Алиасы
Downloader.Generic6.ADBR (AVG)
TR/Dldr.Bensorty.FU.1 (AntiVir)
Trojan.DL.Small.uei (Rising)
Trojan.DownLoader.38509 (DrWeb)
Trojan/Downloader.Bensorty.fu (TheHacker)
Win32/TrojanDownloader.Small.NTQ (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=16275
http://virusinfo.info/showthread.php?t=16297
Файлы на диске
C:\WINDOWS\system32\hg543fdg.dll
MD5=19AC498EDA5FEF62437072CABD1540C2
10000 байт
Способ запуска
O2 - BHO: C:\WINNT\system32\hg543fdg.dll - {B2AC49A2-94F3-42BD-F434-2604812C897D} - C:\WINNT\system32\hg543fdg.dll
Внешние проявления
Отсутсвует в логе AVZ, хотя в базе безопасных не значится.
-
-
AdWare.Win32.Virtumonde.dnl
Переименован в Packed.Win32.Monder.gen, а затем в Trojan.Win32.Monder.gen
Алиасы
AdWare.Virtumonde.djl (Not a Virus) (CAT-QuickHeal)
Adware.Vundo.V.Gen (VirusBuster)
Adware/Virtumonde.bio (TheHacker)
Lop (AVG)
TR/Vundo.dvc.5 (AntiVir)
Troj/Virtum-Gen (Sophos)
Trojan:Win32/Vundo.gen!A (Microsoft)
Trojan.Juan.29 (DrWeb)
Trojan.Win32.Undef.bff (Rising)
W32/Virtumonde.G.gen!Eldorado (F-Prot)
Встречен в темах
http://virusinfo.info/showthread.php?t=16324
http://virusinfo.info/showthread.php?t=16362
Файлы на диске
Файлы dll со случайными именами в папке C:\WINDOWS\system32
Способ запуска
Модуль расширения Internet Explorer BHO
CLSID случайный
Признаки
Модуль dll с подозрительным именем у безопасных процессов таких как:
c:\windows\explorer.exe
c:\windows\system32\lsass.exe
+ соответствующий модуль расширения Internet Explorer BHO
Последний раз редактировалось AndreyKa; 10.05.2008 в 00:40.
-
-
Trojan-Proxy.Win32.Wopla.at
Алиасы
Proxy.XKA (AVG)
Rkit/Agent.EZ (AntiVir)
Trojan Horse (Symantec)
Trojan.Proxy.Wopla.AO (BitDefender)
TrojanProxy.Wopla.at (CAT-QuickHeal)
Win32:Agent-JBL (Avast)
Win32/TrojanProxy.Wopla.AT (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=16250
http://virusinfo.info/showthread.php?t=16334
Файлы на диске
C:\WINDOWS\system32\Drivers\ndisaluo.sys
C:\WINDOWS\system32\Drivers\ntio922.sys
C:\NETHLPR.EXE
Способ запуска
?
Признаки
В пункте 1.3 лога AVZ сообщения:
>>>> Подозрение на RootKit ndisaluo C:\WINDOWS\system32\Drivers\ndisaluo.sys
>>>> Подозрение на RootKit ntio922 C:\WINDOWS\system32\Drivers\ntio922.sys
Последний раз редактировалось AndreyKa; 15.01.2008 в 11:49.
-
-
Сообщение от
AndreyKa
Признаки
В пункте 1.3 лога AVZ сообщения:
>>>> Подозрение на RootKit ndisaluo C:\WINDOWS\system32\Drivers\ndisaluo.sys
>>>> Подозрение на RootKit ntio922 C:\WINDOWS\system32\Drivers\ntio922.sys
Результаты запроса к моей базе - зловред еще дропает файл C:\NETHLPR.EXE (Trojan-Proxy.Win32.Wopla.at). Идентичное поведение у зловреда Trojan-Proxy.Win32.Wopla.aw. Дроппер зловреда активирует привилегию SeDebugPrivilege, обращается к \Device\PhysicalMemory - такое поведение характерно для зловредов, снимающих хуки драверов защитного ПО.
-
-
Virus.Win32.Xorer.dr
Алиасы
Generic9.APEN (AVG)
TR/Fujacks.A.1 (AntiVir)
Trojan.Rox (DrWeb)
Virus:Win32/Xorer.A (Microsoft)
W32.Pagipef.I!inf (Symantec)
W32/Fujacks (McAfee)
W32/Smalltroj.CFJY (Norman)
Win32:Agent-PPS (Avast)
Краткое описание
При запуске создает несколько своих копий, прописывает себя в автозапуск.
Записывает на диск несколько вредоносных файлов, таких как:
Virus.Win32.Xorer.dd
Virus.Win32.Xorer.df
Virus.Win32.Xorer.dp
Копирует себя на съемные диски, прописывая в автозапуск через файл AUTORUN.INF
Судя по наличию в его файле строк с названиями антивирусов, Virus.Win32.Xorer.dr пытается активно противодействовать им.
Встречен в темах
http://virusinfo.info/showthread.php?t=16439
Файлы на диске
c:\pagefile.pif
C:\NetApi00.sys
C:\037589.log
C:\AUTORUN.INF
C:\lsass.exe.48247687.exe
C:\WINDOWS\system32\com\smss.exe
C:\WINDOWS\system32\com\netcfg.000
C:\WINDOWS\system32\com\netcfg.dll
C:\WINDOWS\system32\com\lsass.exe
C:\WINDOWS\system32\dnsq.dll
Некоторые имена случайны.
Способ запуска
1. Прописывает запуск через файл AUTORUN.INF в корне основного и съемных дисков.
2. Записывает свои копии в меню автозапуска:
...\Главное меню\Программы\Автозагрузка\~.exe.49425375.exe
3. O20 - AppInit_DLLs: C:\WINDOWS\system32\dnsq.dll
Последний раз редактировалось AndreyKa; 16.01.2008 в 13:10.
-
-
Email-Worm.Win32.Agent.l
Алиасы
BackDoor.Generic_c.AEW (AVG)
Generic.dx (McAfee)
I-Worm.Agent.l (CAT-QuickHeal)
TR/Pandex.L.2 (AntiVir)
Trj/Spammer.ADX (Panda)
Troj/Agent-GDR (Sophos)
Trojan.NtRootKit.360 (DrWeb)
Trojan.Pandex.L (BitDefender)
VirTool:WinNT/Cutwail.D (Microsoft)
W32/Agent.L@mm (Fortinet)
W32/Smallworm.AEH (Norman)
W32/Trojan.BXQV (F-Prot)
Win32:Agent-LNK (Avast)
Win32.Agent.l (eSafe)
Win32/Agent.NBT (NOD32v2)
Win32/Agent.worm.114480 (AhnLab-V3)
Win32/Cutspeer.A (eTrust-Vet)
Worm.Agent.l (Ewido)
Worm.Mail.Win32.Agent.mc (Rising)
Примечание
Появился почти полгода назад. Его знают все антивирусы, но он все еще попадается в диком виде!
Возможна связь с Trojan-Downloader.Win32.Agent.ggt
Встречен в темах
http://virusinfo.info/showthread.php?t=15929
http://virusinfo.info/showthread.php?t=16444
http://virusinfo.info/showthread.php?t=16595
http://virusinfo.info/showthread.php?t=16602
http://virusinfo.info/showthread.php?t=16748
http://virusinfo.info/showthread.php?t=16796
Файлы на диске
C:\WINDOWS\system32\DRIVERS\smtpdrv.sys
18176 байт
MD5=5A5A869F4343A5C4057DA597FFFA3482
Способ запуска
Драйвер smtpdrv C:\WINDOWS\system32\DRIVERS\smtpdrv.sys
Группа: Streams Drivers
Последний раз редактировалось AndreyKa; 27.01.2008 в 01:23.
-
-
Trojan.Win32.Obfuscated.mp
Алиасы
Generic.Zlob.80ABF7BE (BitDefender)
Generic9.AJXX (AVG)
TR/Obfuscated.MP (AntiVir)
Trojan-Downloader.Zlob.Media-Codec (Sunbelt)
Trojan:Win32/Wantvi.D (Microsoft)
Trojan.NtRootKit.612 (DrWeb)
Trojan.Obfuscated.mp (CAT-QuickHeal)
Trojan.Virantix.B (Symantec)
Trojan/Obfuscated.mp (TheHacker)
W32/Obfuscated.MP!tr (Fortinet)
W32/Trojan2.TCK (F-Prot)
Win32.Obfuscated.mp (eSafe)
Встречен в темах
http://virusinfo.info/showthread.php?t=15680
http://virusinfo.info/showthread.php?t=16221
http://virusinfo.info/showthread.php?t=16779
Файлы на диске
C:\WINDOWS\System32\Drivers\Beep.SYS
37888 байт.
Способ запуска
Подменяет собой системный драйвер с таким же именем и запускается вместо него.
Последний раз редактировалось AndreyKa; 26.01.2008 в 17:14.
-
-
AdWare.Win32.Agent.yw
Алиасы
ADSPY/Agent.YW.2 (AntiVir)
Adware Generic2.ZKE (AVG)
AdWare.Agent.yw (Not a Virus) (CAT-QuickHeal)
Adware.Bho (DrWeb)
Not-A-Virus.Adware.Agent (Ewido)
Встречен в темах
http://virusinfo.info/showthread.php?t=16050
http://virusinfo.info/showthread.php?t=16348
http://virusinfo.info/showthread.php?t=16381
http://virusinfo.info/showthread.php?t=18620
Файл на диске
C:\Program Files\ContentSaver\ContentSaver.dll
118784 байт
Способ запуска
C:\Program Files\ContentSaver\ContentSaver.dll BHO {29F340EA-2108-40d0-94A0-62EC2B9EDF59}
Особенности
Можно удалять через Панель управления - Установка/Удаление программ.
Последний раз редактировалось AndreyKa; 25.02.2008 в 21:08.
-
-
Rootkit.Win32.Agent.tc
Алиасы
BackDoor.Generic9.MOG (AVG)
Generic RootKit.a (McAfee)
Rkit/Agent.TC (AntiVir)
RootKit.A!tr (Fortinet)
Rootkit.Agent.tc (CAT-QuickHeal)
Rootkit/Lanman.BR (Panda)
Trojan.LanMan (DrWeb)
Trojan/Agent.tc (TheHacker)
VirTool:WinNT/Laqma.A (Microsoft)
W32/Rootkit.CDH (Norman)
Краткое описания
Функционирует как модуль пространства ядра.
Перехватывает несколько функций в KernelMode.
Встречался в паре с c:\windows\system32\lanmanwrk.exe - Trojan.Win32.Agent.dwq
Встречен в темах
http://virusinfo.info/showthread.php?t=12434
http://virusinfo.info/showthread.php?t=16319
http://virusinfo.info/showthread.php?t=16400
http://virusinfo.info/showthread.php?t=16494
http://virusinfo.info/showthread.php?t=17302
http://virusinfo.info/showthread.php?t=17440
Файлы на диске
C:\WINDOWS\System32\lanmandrv.sys
MD5=B5EC5B3E0BC6B26BB05282B65AF90686
5632 байт
Способ запуска
Драйвер: lanmandrv C:\WINDOWS\System32\lanmandrv.sys
Последний раз редактировалось AndreyKa; 03.02.2008 в 13:18.
-
-
AdWare.Win32.Virtumonde.dnn
Переименован в Packed.Win32.Monder.gen
Алиасы
AdWare.Virtumonde.dnn (CAT-QuickHeal)
Generic9.AQNO (AVG)
Spyware/Virtumonde (Panda)
TR/Vundo.DWB (AntiVir)
Troj/Virtum-Gen (Sophos)
Trojan.Metajuan (Symantec)
Trojan.Virtumod.260 (DrWeb)
Trojan.Vundo.DWB (BitDefender)
W32/Virtumonde.G.gen!Eldorado (F-Prot)
W32/Virtumonde.JTK (Norman)
Win32/Adware.SecToolbar (NOD32v2)
Описание
Рекламная программа, показывающая всплывающие сообщения.
Функционирует как модуль сразу нескольких процессов.
Встречается вместе с другими представителями семейства AdWare.Win32.Virtumonde.
Экземпляры файлов отличаются друг от друга приписанным в конце файла случайным набором чисел.
Встречен в темах
http://virusinfo.info/showthread.php?t=16362
http://virusinfo.info/showthread.php?t=16466
http://virusinfo.info/showthread.php?t=16496
http://virusinfo.info/showthread.php?t=17108
Файлы на диске
Файл dll со случайным именем из букв в папке C:\WINDOWS\system32
163904 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\_имя_файла_
+
BHO {A95B2816-1D7E-4561-A202-68C0DE02353A}
Последний раз редактировалось AndreyKa; 13.04.2008 в 12:20.
-
-
Trojan.Win32.Agent.dxg
Алиасы
Agent.2.AN (AVG)
Mal/Behav-150 (Sophos)
Trojan.Agent.dxg (Ewido)
Trojan.Spambot.2572 (DrWeb)
Trojan/Agent.dxg (TheHacker)
W32/Agent.DXG!tr (Fortinet)
W32/Smalltroj.CFKI (Norman)
W32/Trojan2.TZE (F-Prot)
Win-Trojan/Agent.25600.DD (AhnLab-V3)
Win32/Obfuscated.NAL (NOD32v2)
Win32/SillyProxy.BQ (eTrust-Vet)
Встречен в темах
http://virusinfo.info/showthread.php?t=16416
http://virusinfo.info/showthread.php?t=16437
http://virusinfo.info/showthread.php?t=16491
http://virusinfo.info/showthread.php?t=16446
http://virusinfo.info/showthread.php?t=16601
Файлы на диске
Может быть как в виде exe файла:
C:\WINDOWS\system32\fci.exe
Так и в виде альтернативного потока системного файла:
C:\WINDOWS\system32\svchost.exe:ext.exe:$DATA
Не удаляйте файл C:\WINDOWS\system32\svchost.exe !!!
25600 байт
MD5=01EA113361CC3ACC160930D8918FC682
Способ запуска
Служба FCI C:\WINDOWS\system32\fci.exe
Группа: TDI
Внешние проявления (со слов пользователей)
Много трафика идет. svchost.exe создает много подключений по SMTP.
Периодически с компьютера отправляют сообщения по электронной почте.
Последний раз редактировалось AndreyKa; 20.01.2008 в 20:41.
-
-
Worm.Win32.AutoRun.bnq
Алиасы
amvo.exe:
PWS-OnlineGames.a (McAfee)
SHeur.SHW (Prevx1)
Trojan.PWS.OnlineGames.NXF (BitDefender)
W32.Gammima.AG (Symantec)
W32/AutoRun.BDA (Norman)
W32/AutoRun.bnq (TheHacker)
W32/AutoRun.BNQ!worm (Fortinet)
W32/Autorun.LD.worm (Panda)
W32/Worm.LZX (F-Prot)
Win-Trojan/OnlineGameHack.103956 (AhnLab-V3)
Win32:AutoRun-MH (Avast)
Win32.AutoRun.bnq (eSafe)
Win32.HLLW.Autoruner.1020 (DrWeb)
Win32.Packed.NSAnti.r (CAT-QuickHeal)
Win32/Frethog.AGF (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Worm/AutoRun.Y (AVG)
amvo0.dll:
OnlineGames.A!tr.pws (Fortinet)
PWS-OnlineGames.a (McAfee)
Trojan.PWS.OnlineGames.NXF (BitDefender)
Trojan.PWS.Wsgame.2387 (DrWeb)
W32/AutoRun.BDE (Norman)
W32/AutoRun.bnq (TheHacker)
W32/Autorun.LD.worm (Panda)
Win-Trojan/OnlineGameHack.54784.B (AhnLab-V3)
Win32/Frethog.AGF (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=16117
http://virusinfo.info/showthread.php?t=16151
http://virusinfo.info/showthread.php?t=16597
Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
autorun.inf в корневой папке на всех дисках.
В нем прописан файл u.bat (имя файла может быть другим) для автозапуска.
u.bat имеет атрибуты скрытый, системный, только для чтения.
Для сокрытия присутствия используется руткит, работающий в режиме ядра - C:\WINDOWS\system32\wincab.sys Его файл после запуска удаляется с диска.
Способ запуска
1. C:\WINDOWS\system32\amvo.exe Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Прописывает запуск через файл AUTORUN.INF в корне основного и съемных дисков.
Внешние проявления (со слов пользователей)
Не показывает скрытые файлы и папки. Локальные диски открывает в новом окне.
Последний раз редактировалось AndreyKa; 20.01.2008 в 17:23.
-
-
Virus.Win32.Sality.v
Алиасы
Win32/Sality.AB (NOD32v2)
Virus:Win32/Sality.AH (Microsoft)
W32.Sality.AB (Symantec)
W32/Kashu.A (AntiVir)
W32/Sality-AM (Sophos)
W32/Sality.ad (McAfee)
W32/Sality.AE (F-Prot)
Win32.Kashu.A (BitDefender)
Win32.Sector.4 (DrWeb)
Win32/Kashu (AhnLab-V3)
Win32/Sality.V (eTrust-Vet)
Описание
Файловый вирус. Распространяется путем заражения исполняемых файлов (.exe и .scr). Пытается загрузить вредоносные файлы через Интернет.
http://www.symantec.com/security_res...011120-5334-99 (англ.)
Встречен в темах
http://virusinfo.info/showthread.php?t=16621
и в темах Trojan.Win32.KillAV.ne
Внешние проявления (со слов пользователей)
Компьютер не может загрузится в Безопасном режиме.
Работа антивирусов нарушается, антивирусы удаляются.
Последний раз редактировалось AndreyKa; 20.01.2008 в 22:47.
-
-
Сообщение от
AndreyKa
Email-Worm.Win32.Agent.l
...
Возможна связь с Trojan-Downloader.Win32.Agent.ggt
Доп. данные из моих баз - в частности его дропает одноименный зловред Email-Worm.Win32.Agent.l по классификации ЛК. Он создает файл C:\WINDOWS\system32\drivers\smtpdrv.sys (Email-Worm.Win32.Agent.l по ЛК), а также C:\WINDOWS\system32\MailSpectre.exe (Trojan.Win32.Agent.bap по ЛК), после чего регистрирует драйвер под именем smtpdrv и включает в группу "Streams Drivers" - т.е. поведение в точности совпадает с описанным выше. Исполняемый файл данного зловреда, выступающий в роли дроппера, имеет размер 155 кб, программный код написан на C, не зашифрован, дропаемые файлы приписаны в хвост дроппера. Trojan.Win32.Agent.bap в свою очередь в ходе работы обращается к драйверу smtpdrv.sys, что доказывает их взаимосвязь
Последний раз редактировалось Зайцев Олег; 20.01.2008 в 22:56.
-
-
Trojan-Spy.Win32.Broker.as
Алиасы
Downloader.Agent.AACP (AVG)
PWS:Win32/Zbot (Microsoft)
Trojan-Spy.Win32.Broker.as (Kaspersky)
Trojan.Proxy.2634 (DrWeb)
Trojan.Spy.Broker.N (BitDefender)
Trojan/Spy.Broker.as (TheHacker)
W32/Malware.BOKQ (Norman)
Встречен в темах
http://virusinfo.info/showthread.php?t=16595
http://virusinfo.info/showthread.php?t=16626
http://virusinfo.info/showthread.php?t=16656
http://virusinfo.info/showthread.php?t=16757
http://virusinfo.info/showthread.php?t=16895
http://virusinfo.info/showthread.php?t=17214
Файлы на диске
C:\WINDOWS\system32\ntos.exe
Способ запуска
C:\WINDOWS\system32\ntos.exe
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
Примечание
Представитель этого семейства с описанием: Trojan-Spy.Win32.Broker.ap
Последний раз редактировалось AndreyKa; 16.02.2008 в 10:22.
-
-
Rootkit.Win32.Agent.tw
Алиасы
BackDoor.Generic9.NNL (AVG)
Rootkit.Agent.ql (CAT-QuickHeal)
Trojan.NtRootKit.511 (DrWeb)
Trojan.Rootkit.Agent.NDW (BitDefender)
VirTool:WinNT/Boaxxe.E (Microsoft)
W32/Rootkit.AHL (F-Prot)
W32/Rootkit.CNC (Norman)
Win32:Agent-PSI (Avast)
Win32/Agent.NOU (NOD32v2)
Win32/Kvol.Q (eTrust-Vet)
Встречен в темах
http://virusinfo.info/showthread.php?t=12434
http://virusinfo.info/showthread.php?t=16594
http://virusinfo.info/showthread.php?t=16667
http://virusinfo.info/showthread.php?t=17254
Файлы на диске
C:\WINDOWS\system32\Drivers\*.dat
* - 8 случайных латинских букв
19456 байт
Способ запуска
Драйвер. Его имя тоже случайное и отличается от имени файла.
Группа: Boot Bus Extender
Работает как Модуль пространства ядра.
Последний раз редактировалось AndreyKa; 02.02.2008 в 19:05.
-
-
Trojan.Win32.BHO.agz
Алиасы
BZub.ARU (Norman)
Generic9.AJIO (AVG)
TR/BHO.agz.21 (AntiVir)
Trj/Downloader.RKS (Panda)
Troj/BHO-EL (Sophos)
Trojan:Win32/Boaxxe.C (Microsoft)
Trojan.Adclicker (Symantec)
Trojan.BHO-1253 (ClamAV)
Trojan.BHO.agz (Ewido)
Trojan.DoS.Win32.Opdos (Prevx1)
Trojan.DownLoader.38058 (DrWeb)
Trojan.Spy.Bzub.NGP (BitDefender)
Trojan/BHO.agz (TheHacker)
W32/BHO.AGZ!tr (Fortinet)
Win32:BHO-KD (Avast)
Win32/BHO.AGZ (NOD32v2)
Win32/Kvol!generic (eTrust-Vet)
Встречен в темах
http://virusinfo.info/showthread.php?t=12434
http://virusinfo.info/showthread.php?t=16189
http://virusinfo.info/showthread.php?t=16667
Файлы на диске
dll файл со случайным именем из латинских букв в папке c:\windows\system32
Встречается вместе с Rootkit.Win32.Agent.tw (см. выше).
Способ запуска
BHO, CLSID - случайный
-
-
Worm.Win32.AutoRun.bur
Алиасы
amvo.exe
Trj/Wow.SE (Panda)
Trojan.Dropper.OnlineGames.I (BitDefender)
Trojan.MulDrop.6474 (DrWeb)
Trojan.Win32.AVKiller (VBA32)
W32.Gammima.AG (Symantec)
W32/Autorun-AQ (Sophos)
W32/AutoRun.bur (TheHacker)
W32/AutoRun.BUR!worm (Fortinet)
W32/Autorun.worm.bn (McAfee)
W32/Smalltroj.CIGU (Norman)
Win32.Packed.NSAnti.r (CAT-QuickHeal)
Win32/Autorun.worm.104863 (AhnLab-V3)
Win32/Frethog.AGS (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Worm/Generic.FHX (AVG)
eaxbit.dll & amvo0.dll
BHO.CYR, PSW.OnlineGames.ABQN (AVG)
Trj/Wow.SE (Panda)
Trojan.Agent.AGPW, Trojan.PWS.OnlineGames.NYX (BitDefender)
Trojan.Legmir.A (Prevx1)
Trojan.Nsanti.Packed, Trojan.PWS.Wsgame.2387 (DrWeb)
Trojan.Small-1780 (ClamAV)
W32.Gammima.AG (Symantec)
W32/Autorun-AQ (Sophos)
W32/AutoRun.AQ!worm (Fortinet)
W32/AutoRun.bur (TheHacker)
W32/Autorun.worm.bn (McAfee)
W32/Smalltroj.CIGR, W32/Smalltroj.CIUP (Norman)
Win-Trojan/OnlineGameHack.54784.F (AhnLab-V3)
Win32/NSAnti, Win32/VMalum.BUVZ (eTrust-Vet)
Win32/PSW.OnLineGames.NLK, Win32/Rootkit.Vanti.NAI (NOD32v2)
Worm.AutoRun.bur (CAT-QuickHeal)
Описание
Червь распространяющийся копированием самого себя на сменные носители. Похищает пароли к различным интернет-играм.
Встречен в темах
http://virusinfo.info/showthread.php?t=16505
http://virusinfo.info/showthread.php?t=16511
http://virusinfo.info/showthread.php?t=16594
Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
juok3st.bat и autorun.inf в корневой папке на всех дисках.
eaxbit.dll во временной папке.
Способ запуска
1. C:\WINDOWS\system32\amvo.exe Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Прописывает запуск через файл AUTORUN.INF в корне основного и съемных дисков.
Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.
Последний раз редактировалось AndreyKa; 26.01.2008 в 19:21.
-