-
Trojan-PSW.Win32.OnLineGames.oob
Алиасы
m1t8ta.com
Trojan.PWS.Wsgame.2387 (DrWeb)
Trojan/PSW.OnLineGames.oob (TheHacker)
TrojanPSW.OnLineGames.oob (CAT-QuickHeal)
W32/AutoInf-H (Sophos)
W32/Lineage.HDR.worm (Panda)
W32/OnLineGames.AIFH (Norman)
W32/OnLineGames.OOB!tr.pws (Fortinet)
Win-Trojan/Autorun.54784 (AhnLab-V3)
Win32/Frethog.AGY (eTrust-Vet)
Win32/PSW.OnLineGames.NLK (NOD32v2)
amvo1.dll
Dropper/Autorun.105525 (AhnLab-V3)
Trojan.MulDrop.6474 (DrWeb)
Trojan.PWS.OnLineGames.OOB (BitDefender)
Trojan/PSW.OnLineGames.oob (TheHacker)
W32/AutoInf-H (Sophos)
W32/Lineage.HDR.worm (Panda)
W32/Smalltroj.CJDR (Norman)
Win32.Packed.NSAnti.r (CAT-QuickHeal)
Win32/Frethog.AGY (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Worm/AutoRun.Y (AVG)
Встречен в темах
http://virusinfo.info/showthread.php?t=16569
http://virusinfo.info/showthread.php?t=16570
http://virusinfo.info/showthread.php?t=16588
http://virusinfo.info/showthread.php?t=16682
Файлы на диске
C:\m1t8ta.com
C:\autorun.inf
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
C:\WINDOWS\system32\amvo.exe
autorun.inf и m1t8ta.com - на всех дисках в корневой папке
Способ запуска
1. Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.
Последний раз редактировалось AndreyKa; 27.01.2008 в 01:17.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Trojan.Win32.Inject.sm
Алиасы
BackDoor.Bifrost.526 (DrWeb)
Backdoor.Eterok.C (Symantec)
Generic9.ATJS (AVG)
Mal/Generic-A (Sophos)
TR/Inject.SM (AntiVir)
W32/Inject.SM!tr (Fortinet)
Win32/TrojanProxy.Xorpix.NAE (NOD32v2)
Описание
Внедряется в системный процес Winlogon.
В списке модулей отсутствует.
Запускает процесс iexplore.exe и внедряется в него.
Отрывает BackDoor на случайном порту TCP.
Отправляет этот номер порта на удаленный сервер, ожидает соединения и команды для выполнения.
http://www.symantec.com/security_res...557-99&tabid=2
Встречен в темах
http://virusinfo.info/showthread.php?t=16421
http://virusinfo.info/showthread.php?t=16535
http://virusinfo.info/showthread.php?t=16586
http://virusinfo.info/showthread.php?t=16984
http://virusinfo.info/showthread.php?t=17707
Файлы на диске
C:\Documents and Settings\All Users\Документы\Settings\abc32.dll
%UserProfile%\Local Settings\Temp\arm????.tmp
Способ запуска
C:\Documents and Settings\All Users\Документы\Settings\abc32.dll
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\abc32reg
Последний раз редактировалось AndreyKa; 09.02.2008 в 19:21.
-
-
Trojan-PSW.Win32.OnLineGames.oob
Сообщение от
AndreyKa
Файлы на диске
C:\m1t8ta.com
C:\autorun.inf
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
C:\WINDOWS\system32\amvo.exe
autorun.inf и m1t8ta.com - на всех дисках в корневой папке
Способ запуска
1. Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.
Небольшое дополнение из моей базы: Размер исполняемого файла зловрда 105 кб. Файл amvo.exe в указанном месте создают также Worm.Win32.AutoRun.* (в частности, Worm.Win32.AutoRun.bmz, Worm.Win32.AutoRun.bun, Worm.Win32.AutoRun.bur, Worm.Win32.AutoRun.cag), а также Trojan-PSW.Win32.OnLineGames.* (в частности Trojan-PSW.Win32.OnLineGames.ost, Trojan-PSW.Win32.OnLineGames.ozf, Trojan-PSW.Win32.OnLineGames.pdb, Trojan-PSW.Win32.OnLineGames.pfm, Trojan-PSW.Win32.OnLineGames.pfm, Trojan-PSW.Win32.OnLineGames.pmo).
По поводу зловреда Trojan-PSW.Win32.OnLineGames.oob можно отметить, что он:
1. Создает во временной папке ряд файлов, в частности lb2t87v.dll, uu2c.sys
2. Определяет местоположение IE для того, чтобы запустить его и инжектит в процесс IE троянский код
3. amvo.exe - это копия дроппера зловреда
4. Зловред умеет бороться с антивирусами, в частности реализует классическую атаку на GUI AVP
5. Модифицирует параметры ключа реестра Software\Microsoft\Windows\CurrentVersion\Explorer \Advanced с именами Hidden и ShowSuperHidden, изменяет политику безопасности путем правки реестра - в ключе Software\Microsoft\Windows\CurrentVersion\Policies \Explorer он модифицирует параметр NoDriveTypeAutoRun. Эти изменения реестра защищены от восстановления за счет того, что зловред периодически повторяет их правку
6. Плодит файлы *:\m1t8ta.com и *:\autorun.inf, причем m1t8ta.com - это копия дроппера зловреда.
Последний раз редактировалось Зайцев Олег; 27.01.2008 в 21:27.
-
-
Worm.Win32.AutoRun.bvz
Очередной представитель семейства Worm.Win32.AutoRun, имеющего в последние несколько недель широкое распространение.
Алиасы
Trojan.Agent.AGOB (BitDefender)
Trojan.MulDrop.6474 (DrWeb)
W32/AutoRun.bvz (TheHacker)
W32/Lineage.HEF.worm (Panda)
Win32.Packed.NSAnti.r (CAT-QuickHeal)
Win32/Autorun.worm.106174 (AhnLab-V3)
Win32/Frethog.AHE (eTrust-Vet)
Worm/AutoRun.Y (AVG)
Встречен в темах
http://virusinfo.info/showthread.php?t=16594
http://virusinfo.info/showthread.php?t=16682
http://virusinfo.info/showthread.php?t=16795
Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
autorun.inf и xn1i9x.com - на всех дисках в корневой папке
Способ запуска
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.
Последний раз редактировалось AndreyKa; 09.02.2008 в 15:01.
-
-
Worm.Win32.AutoRun.cas и Worm.Win32.AutoRun.cag
Алиасы
PWS-LegMir.gen.k (McAfee)
Trj/Downloader.SEW (Panda)
Trojan.Agent.AGOT (BitDefender)
Trojan.MulDrop.6474 (DrWeb)
Trojan.PSW.Win32.GameOL.loc (Rising)
W32.Gammima.AG (Symantec)
W32/AutoRun.cas (TheHacker)
W32/Smalltroj.CKQK (Norman)
Win-Trojan/OnlineGameHack.105942 (AhnLab-V3)
Win32/Frethog.AHJ (eTrust-Vet)
Win32/Pacex.Gen (NOD32v2)
Worm/AutoRun.Y (AVG)
Встречен в темах
http://virusinfo.info/showthread.php?t=16670
http://virusinfo.info/showthread.php?t=16746
http://virusinfo.info/showthread.php?t=17038
http://virusinfo.info/showthread.php?t=17164
Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
%Temp%\9ba4xn.dll
autorun.inf и xn1i9x.com - на всех дисках в корневой папке
autorun.inf детектируется как Trojan-PSW.Win32.OnLineGames.pgs
Способ запуска
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.
Worm.Win32.AutoRun.cag мало чем отличается от Worm.Win32.AutoRun.cas. Он найден в темах:
http://virusinfo.info/showthread.php?t=16675
http://virusinfo.info/showthread.php?t=16865
http://virusinfo.info/showthread.php?t=17160
Отличия в детекте:
W32/AutoRun.CAG!worm (Fortinet)
W32/Lineage.HEF.worm (Panda)
W32/Smalltroj.CKGL (Norman)
Win32:AutoRun-PC (Avast)
Win32/Frethog.AHG (eTrust-Vet)
Дополнительные алиасы для amvo0.dll
Generic.dx (McAfee)
Trojan.PWS.Wsgame.2387 (DrWeb)
W32/AutoRun.BKD (Norman)
W32/Autorun.MY.worm (Panda)
Win-Trojan/OnlineGameHack.54784.R (AhnLab-V3)
Win32:AutoRun-PD (Avast)
Worm.AutoRun.cag (CAT-QuickHeal)
Последний раз редактировалось AndreyKa; 03.02.2008 в 12:42.
-
-
Worm.Win32.AutoRun.cbi, Worm.Win32.AutoRun.chv и Worm.Win32.AutoRun.cin
Ползучая эпидемия продолжается.
Алиасы
Trojan.MulDrop.6474 (DrWeb)
Trojan.PSW.Win32.GameOL.lod (Rising)
Trojan.PWS.Onlinegames.NXQ (BitDefender)
W32.Gammima.AG (Symantec)
W32/AutoRun.cbi (TheHacker)
W32/Autorun.MR.worm (Panda)
W32/Smalltroj.CKWC (Norman)
Win32.AutoRun.cbi (eSafe)
Win32/Frethog.AIG (eTrust-Vet)
Win32/PSW.OnLineGames.MUU (NOD32v2)
Worm/AutoRun.Y (AVG)
Встречен в темах
http://virusinfo.info/showthread.php?t=16742
http://virusinfo.info/showthread.php?t=16985
http://virusinfo.info/showthread.php?t=17095
Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
autorun.inf и qd.cmd - на всех дисках в корневой папке
Способ запуска
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.
Отличия Worm.Win32.AutoRun.chv
Алиасы
amvo.exe
Dropper/Autorun.104080 (AhnLab-V3)
PWS:Win32/OnLineGames.BL (Microsoft)
Trj/QQPass.BBV (Panda)
Trojan.MulDrop.6474 (DrWeb)
W32/AutoRun.chv (TheHacker)
W32/NSAnti.FZS (Norman)
Win32/Frethog.AJA (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=17324
http://virusinfo.info/showthread.php?t=17382
http://virusinfo.info/showthread.php?t=17635
Файлы на диске
%Temp%\pqub.dll
В корне всех дисков файл h.cmd
Отличия Worm.Win32.AutoRun.cin
Алиасы
amvo.exe
Trojan.Agent.AGTI (BitDefender)
W32/AutoRun.cin (TheHacker)
W32/Downldr2.AXPW (F-Prot)
W32/Lineage.GUF.worm (Panda)
Win-Trojan/Autorun.104644 (AhnLab-V3)
Win32/PSW.OnLineGames.NLI (NOD32v2)
amvo0.dll
Trojan.PWS.Wsgame.2387 (DrWeb)
VirTool:Win32/Obfuscator.T (Microsoft)
W32/NSAnti.GDM (Norman)
Win32/PSW.OnLineGames.NLK (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=17457
http://virusinfo.info/showthread.php?t=17474
http://virusinfo.info/showthread.php?t=17631
Файлы на диске
%Temp%\yjyuu.dll
В корне всех дисков файл i.cmd
Последний раз редактировалось AndreyKa; 09.02.2008 в 15:08.
-
-
Trojan-Downloader.Win32.Agent.hnp
Алиасы
Downloader.Agent.AADM (AVG)
Downloader.Agent.hnp (Ewido)
TR/Dldr.Agent.hnp (AntiVir)
Trj/Downloader.SFC (Panda)
Trojan:Win32/Adclicker.AO (Microsoft)
Trojan.Adclicker.GY (BitDefender)
Trojan.BhoSpy (DrWeb)
Trojan.Win32.Undef.cap (Rising)
Trojan/Downloader.Agent.hnp (TheHacker)
TrojanDownloader.Agent.hnp (CAT-QuickHeal)
W32/Agent.EAPT (Norman)
W32/Agent.HNP!tr.dldr (Fortinet)
Встречен в темах
http://virusinfo.info/showthread.php?t=16679
http://virusinfo.info/showthread.php?t=16806
http://virusinfo.info/showthread.php?t=17103
http://virusinfo.info/showthread.php?t=17106
http://virusinfo.info/showthread.php?t=17215
http://virusinfo.info/showthread.php?t=18226
http://virusinfo.info/showthread.php?t=18323
Файлы на диске
C:\WINDOWS\System32\socksys.dll
или
C:\WINDOWS\system32\socketa.dll
25600 байт
Способ запуска
BHO {FFFFFFFF-F538-4f86-ABAF-E9D94D5C007C}
Последний раз редактировалось AndreyKa; 21.02.2008 в 21:01.
-
-
Trojan-PSW.Win32.OnLineGames.pqm
Алиасы
xo8wr9.exe и amvo.exe
PSW.OnlineGames.ACQL (AVG)
PWS-Mmorpg.gen (McAfee)
Trojan.MulDrop.6474 (DrWeb)
Trojan.PSW.Win32.GameOL.lri (Rising)
Trojan.PWS.OnlineGames.OOV (BitDefender)
Trojan/PSW.OnLineGames.pqm (TheHacker)
W32.Gammima.AG (Symantec)
W32/Lineage.HHP.worm (Panda)
W32/OnLineGames.AJHA (Norman)
Win-Trojan/OnlineGameHack.103781 (AhnLab-V3)
Win32/Frethog.AIK (eTrust-Vet)
Win32/PSW.OnLineGames.NLI (NOD32v2)
amvo1.dll
Trojan.PSW.Win32.GameOL.lri (Rising)
Trojan.PWS.OnlineGames.OOV (BitDefender)
Trojan.PWS.Wsgame.2387 (DrWeb)
VB.BHZ (Prevx1)
W32.Gammima.AG (Symantec)
W32/Lineage.HHP.worm (Panda)
Win32/Frethog.AIK (eTrust-Vet)
Win32/PSW.OnLineGames.NLK (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=17066
http://virusinfo.info/showthread.php?t=17068
http://virusinfo.info/showthread.php?t=17112
http://virusinfo.info/showthread.php?t=17315
Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
autorun.inf и xo8wr9.exe - на всех дисках в корневой папке
Способ запуска
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.
Последний раз редактировалось AndreyKa; 02.02.2008 в 22:19.
-
-
Worm.Win32.AutoRun.cgi и Trojan-PSW.Win32.OnLineGames.pwr
Алиасы
h.cmd и amvo.exe
PWS-LegMir (McAfee)
Trojan.MulDrop.6474 (DrWeb)
W32.Gammima.AG (Symantec)
W32/AutoRun.cgi (TheHacker)
W32/NSAnti.FXO (Norman)
W32/Wow.SI.worm (Panda)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Win32/VMalum.BVDB (eTrust-Vet)
amvo0.dll
PSW.OnlineGames.ADBF (AVG)
Trojan.PWS.Wsgame.2387 (DrWeb)
VB.BHZ (Prevx1)
W32/NSAnti.FXP (Norman)
Win32/PSW.OnLineGames.NLK (NOD32v2)
Описание
Червь распространяющийся копированием самого себя на сменные носители. Похищает пароли к различным интернет-играм.
Встречен в темах
http://virusinfo.info/showthread.php?t=17225
http://virusinfo.info/showthread.php?t=17255
http://virusinfo.info/showthread.php?t=17337
http://virusinfo.info/showthread.php?t=17382
http://virusinfo.info/showthread.php?t=17635
Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll - детектируется как Trojan-PSW.Win32.OnLineGames.pwr
C:\WINDOWS\system32\amvo1.dll
%Temp%\fhf.dll
autorun.inf и h.cmd - на всех дисках в корневой папке
Способ запуска
1. C:\WINDOWS\system32\amvo.exe
Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.
Последний раз редактировалось AndreyKa; 09.02.2008 в 14:34.
-
-
Trojan-Downloader.Win32.Agent.hlt
Алиасы
BackDoor.Bulknet.134 (DrWeb)
Downloader.Agent.AAAN (AVG)
Trj/Spammer.ADX (Panda)
Trojan.Downloader-21950 (ClamAV)
Trojan.Downloader.Small.AAKE (BitDefender)
Trojan/Downloader.Agent.hlt (TheHacker)
TrojanDownloader.Agent.hlt (CAT-QuickHeal)
VirTool:WinNT/Cutwail.F (Microsoft)
W32/DLoader.FGTA (Norman)
W32/Emogen.HLT!tr.dldr (Fortinet)
Win-Trojan/SpamMailer.25984 (AhnLab-V3)
Win32.Agent.hlt (eSafe)
Win32/Wigon.AN (NOD32v2)
Worm/Ntech.Z.4 (AntiVir)
Встречен в темах
http://virusinfo.info/showthread.php?t=16595
http://virusinfo.info/showthread.php?t=17099
http://virusinfo.info/showthread.php?t=17458
Файл на диске
Имя состоит из трех случайных букв и двух цифр. Например:
C:\WINDOWS\System32\Drivers\Iot62.sys
C:\WINDOWS\System32\Drivers\Agk37.sys
Размер 25984 байт
Способ запуска
Драйвер: C:\WINDOWS\System32\Drivers\?????.sys
Группа: SCSI Class
Функционирует как модуль пространства ядра.
-
-
Trojan-Dropper.Win32.Agent.dsg и Trojan-Downloader.Win32.Small.hwc
Алиасы
TR/Agent.41984.21 (AntiVir)
Trj/Dropper.AAD (Panda)
Troj/Agent-GNA (Sophos)
Trojan.Downloader.Small.AAKR (BitDefender)
Trojan.MulDrop.10872 (DrWeb)
Trojan/Dropper.Agent.dsg (TheHacker)
TrojanDropper.Agent.dsg (CAT-QuickHeal)
VirTool:Win32/Rootkitdrv.BR (Microsoft)
W32/Agent.EAJP (Norman)
Win32:Agent-OLI (Avast)
Описание
Троян с функционалом обмена информацией с удаленным сервером через протокол HTTP.
При первом запуске копирует себя в файлы
%USERPROFILE%\Local Settings\Application Data\ayagbf.exe
%SystemRoot%\System32\drivers\msbzgh.exe
и создает следующие файлы:
%USERPROFILE%\msftp.dll
%SystemRoot%\System32\drivers\sysproc.sys
%SystemRoot%\System32\msftp.dll
Источник: http://www.sophos.com/virusinfo/anal...jagentgna.html (анг.)
sysproc.sys детектируется как Rootkit.Win32.Agent.mu
msftp.dll детектируется как Trojan-Downloader.Win32.Small.hwc
Встречен в темах
http://virusinfo.info/showthread.php?t=16816
http://virusinfo.info/showthread.php?t=17179
http://virusinfo.info/showthread.php?t=17495
http://virusinfo.info/showthread.php?t=17513
http://virusinfo.info/showthread.php?t=17522
http://virusinfo.info/showthread.php?t=17540
http://virusinfo.info/showthread.php?t=17548
http://virusinfo.info/showthread.php?t=17685
http://virusinfo.info/showthread.php?t=17856
Способ запуска
1) Служба: Schedule
C:\WINDOWS\system32\drivers\msbzgh.exe
Группа: SchedulerGroup
2) Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, autoload
C:\Documents and Settings\_пользователь_\Local Settings\Application Data\ayagbf.exe
Дополнительные алиасы Trojan-Downloader.Win32.Small.hwc
Downloader.Generic6.AFLG (AVG)
TR/Dldr.Small.hwc (AntiVir)
Trj/Downloader.SIA (Panda)
Trojan.DownLoader.44897 (DrWeb)
TrojanDownloader.Small.hwc (CAT-QuickHeal)
W32/DLoader.FKPZ (Norman)
Последний раз редактировалось AndreyKa; 12.02.2008 в 22:26.
-
-
Backdoor.Win32.Agent.ehg, Backdoor.Win32.Agent.eom и Backdoor.Win32.Agent.etc
Алиасы
Backdoor/Agent.ehg (TheHacker)
Generic9.AXKP (AVG)
Trj/Downloader.SIA (Panda)
Troj/Agent-GNA (Sophos)
Trojan.DownLoader.46268 (DrWeb)
W32/Smalltroj.CQWT (Norman)
Встречен в темах
http://virusinfo.info/showthread.php?t=17495
http://virusinfo.info/showthread.php?t=17513
http://virusinfo.info/showthread.php?t=17522
http://virusinfo.info/showthread.php?t=17540
http://virusinfo.info/showthread.php?t=17548
http://virusinfo.info/showthread.php?t=17919
Файлы на диске
c:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
%USERPROFILE%\Local Settings\Application Data\cftmon.exe
c:\windows\system32\drivers\spool.exe
%UserProfile%\ftpdll.dll
C:\WINDOWS\system32\ftpdll.dll
ftpdll.dll детектируются как Trojan-Downloader.Win32.Small.hwc
Способ запуска
1) Служба: Schedule
Описание: Task Scheduler
C:\WINDOWS\system32\drivers\spool.exe
Группа: SchedulerGroup
2) Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, autoload
C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
3) Ключ реестра HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion \Run, autoload
C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
4) Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, ntuser
C:\WINDOWS\system32\drivers\spools.exe
5) Ключ реестра HKEY_CURRENT_USER,
Software\Microsoft\Windows\CurrentVersion\Run, ntuser
C:\WINDOWS\system32\drivers\spools.exe
Отличия Backdoor.Win32.Agent.eom
Алиасы
Backdoor.Agent.eom (CAT-QuickHeal)
BackDoor.FireOn (DrWeb)
Generic9.BBNJ (AVG)
Troj/Agent-GNA (Sophos)
W32/Agent.EOM!tr.bdr (Fortinet)
W32/Smalltroj.CUKE (Norman)
Win32:Small-JMK (Avast)
Встречен в темах
http://virusinfo.info/showthread.php?t=18156
http://virusinfo.info/showthread.php?t=18234
http://virusinfo.info/showthread.php?t=18273
http://virusinfo.info/showthread.php?t=18275
http://virusinfo.info/showthread.php?t=18294
Отличия Backdoor.Win32.Agent.etc
Алиасы
BACKDOOR.DIMPY.WIN32VBSY.Q (Prevx1)
SHeur.AVFC (AVG)
TR/Dldr.Small.AAKR.12 (AntiVir)
Trojan.Downloader.Small.AAKR (BitDefender)
Win32/TrojanDownloader.Agent.NVF (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=18779
http://virusinfo.info/showthread.php?t=18785
http://virusinfo.info/showthread.php?t=18858
Последний раз редактировалось AndreyKa; 01.03.2008 в 16:50.
-
-
Trojan-PSW.Win32.OnLineGames.qmf, Trojan-PSW.Win32.OnLineGames.qpu, Trojan-PSW.Win32.OnLineGames.qso
Алиасы
Trojan.MulDrop.6474 (DrWeb)
Trojan/PSW.OnLineGames.qmf (TheHacker)
W32.Gammima.AG (Symantec)
W32/Lineage.HJT.worm (Panda)
W32/NSAnti.GFI (Norman)
Win-Trojan/Autorun.103367 (AhnLab-V3)
Win32/PSW.OnLineGames.NLI (NOD32v2)
Дополнительные алиасы amvo0.dll
PWS-LegMir.gen.k.dll (McAfee)
Trojan.PWS.Wsgame.2387 (DrWeb)
W32/NSAnti.GEK (Norman)
Win-Trojan/Autorun.54784.E (AhnLab-V3)
Win32/PSW.OnLineGames.NLK (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=17499
http://virusinfo.info/showthread.php?t=17535
http://virusinfo.info/showthread.php?t=17558
http://virusinfo.info/showthread.php?t=17604
http://virusinfo.info/showthread.php?t=17615
http://virusinfo.info/showthread.php?t=17638
http://virusinfo.info/showthread.php?t=17725
http://virusinfo.info/showthread.php?t=17816
http://virusinfo.info/showthread.php?t=18859
Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
%Temp%\zmcc.dll
autorun.inf и 2ifetri.cmd - на всех дисках в корневой папке
zmcc.dll детектируется как Rootkit.Win32.Agent.yr
Способ запуска
1. C:\WINDOWS\system32\amvo.exe Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Прописывает запуск через файл AUTORUN.INF в корне основного и съемных дисков.
Внешние проявления (со слов пользователей)
Проводник не показывает скрытые файлы.
Отличия Trojan-PSW.Win32.OnLineGames.qpu
Дополнительные алиасы
Trj/lineage.HKP (Panda)
Trojan/PSW.OnLineGames.qpu (TheHacker)
VirTool:Win32/Obfuscator.T (Microsoft)
W32/NSAnti.GFV (Norman)
Встречен в темах
http://virusinfo.info/showthread.php?t=17631
http://virusinfo.info/showthread.php?t=17634
http://virusinfo.info/showthread.php?t=17638
http://virusinfo.info/showthread.php?t=17787
http://virusinfo.info/showthread.php?t=17843
http://virusinfo.info/showthread.php?t=17954
Файлы на диске
%Temp%\em.dll
188qsm.bat в корне каждого диска.
em.dll детектируется как Trojan-PSW.Win32.OnLineGames.qou
Отличия Trojan-PSW.Win32.OnLineGames.qso
Дополнительные алиасы
Trj/Lineage.HLA (Panda)
Trojan/PSW.OnLineGames.qso (TheHacker)
W32/NSAnti.GGB (Norman)
Win-Trojan/OnlineGameHack.103404 (AhnLab-V3)
Win32/Frethog.AKC (eTrust-Vet)
amvo0.dll:
Trojan.Spy-23738 (ClamAV)
TrojanPSW.OnLineGames.qso (CAT-QuickHeal)
W32/NSAnti.GGA (Norman)
Win32/Frethog.AKH (eTrust-Vet)
Встречен в темах
http://virusinfo.info/showthread.php?t=17635
http://virusinfo.info/showthread.php?t=17665
http://virusinfo.info/showthread.php?t=17913
http://virusinfo.info/showthread.php?t=18577
Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
%Temp%\y5o.dll
autorun.inf и x.com - на всех дисках в корневой папке
Последний раз редактировалось AndreyKa; 01.03.2008 в 21:36.
-
-
Trojan.Win32.DNSChanger.aum
Алиасы
DNSChanger.K (AVG)
Trojan.DNSChanger.BX (BitDefender)
Win32.Trojan.DNSChanger.aum (CAT-QuickHeal)
Описание
Завершает процессы антивирусов. Внедряет свой код в память системных процессов. Сам в списке работающих программ отсутствует.
Встречен в темах
http://virusinfo.info/showthread.php?t=16595
http://virusinfo.info/showthread.php?t=16621
http://virusinfo.info/showthread.php?t=17684
http://virusinfo.info/showthread.php?t=17998
http://virusinfo.info/showthread.php?t=18026
Файлы на диске
Файл в папке C:\WINDOWS\system32 со случайным именем из 5 латинских букв, например:
C:\WINDOWS\system32\kdbzh.exe
C:\WINDOWS\system32\kdhpy.exe
C:\WINDOWS\system32\kdecb.exe
76800 байт
Способ запуска
kd???.exe
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, System
Последний раз редактировалось AndreyKa; 16.02.2008 в 16:37.
-
-
Trojan.Win32.ConnectionServices.o
Алиасы
Adware Generic2.AAXY (AVG)
Adware.BitAcc (DrWeb)
Adware/LinkOptimizer (Panda)
Troj/Dropper-RY (Sophos)
TROJAN.VB.RY (Prevx1)
Встречен в темах
http://virusinfo.info/showthread.php?t=17540
http://virusinfo.info/showthread.php?t=17710
http://virusinfo.info/showthread.php?t=17767
http://virusinfo.info/showthread.php?t=18518
http://virusinfo.info/showthread.php?t=18570
http://virusinfo.info/showthread.php?t=18620
http://virusinfo.info/showthread.php?t=18755
Файлы на диске
C:\Program Files\ConnectionServices\ConnectionServices.dll
420352 байт
Способ запуска
C:\Program Files\ConnectionServices\ConnectionServices.dll
BHO {6D7B211A-88EA-490c-BAB9-3600D8D7C503}
Последний раз редактировалось AndreyKa; 28.02.2008 в 00:11.
-
-
Trojan.Win32.Agent.edu
Алиасы
Agent.NMR (AVG)
TR/Agent.edu.2 (AntiVir)
Trojan.Agent-12855 (ClamAV)
Trojan.Agent.AGKK (BitDefender)
Trojan.Agent.dyo (CAT-QuickHeal)
Trojan.DoS.Win32.Opdos (Prevx1)
Trojan.Okuks (DrWeb)
Trojan/Agent.edu (TheHacker)
W32/Agent.EDQY (Norman)
W32/Agent.EDU!tr (Fortinet)
Встречен в темах
http://virusinfo.info/showthread.php?t=16830
http://virusinfo.info/showthread.php?t=16981
http://virusinfo.info/showthread.php?t=17670
http://virusinfo.info/showthread.php?t=17808
http://virusinfo.info/showthread.php?t=18791
Файлы на диске
Файл со случайным именем (base*32.dll) в папке C:\WINDOWS\system32, например:
C:\WINDOWS\system32\baseqhnjm32.dll
C:\WINDOWS\system32\baseoaera32.dll
C:\WINDOWS\system32\basemqai32.dll
C:\WINDOWS\system32\baseqxkha32.dll
24576 байт
Способ запуска
Прописывает свой автозапуск в реестре оригинальным способом, в ключе Windows раздела [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems].
Так что при удалениии файла компьютер не может загрузиться в любом режиме.
Примечание
Антивирус DrWeb (CureIt!) может либо "вылечить" троянскую библиотеку, чтобы она загружалась, но была безвредной, либо удалить, исправив при этом реестр.
Антивирус Касперского может корректно удалить трояна.
Но возможны проблемы из-за того, что постоянно появляются новые модификации.
Последний раз редактировалось AndreyKa; 01.03.2008 в 13:57.
-
-
Trojan-Downloader.Win32.Small.iih
Алиасы
TR/Dldr.Small.iih.1 (AntiVir)
Trojan.DownLoader.46268 (DrWeb)
TrojanDownloader.Small.iih (CAT-QuickHeal)
W32/Small.IIH!tr.dldr (Fortinet)
Встречен в темах
http://virusinfo.info/showthread.php?t=17685
http://virusinfo.info/showthread.php?t=17853
http://virusinfo.info/showthread.php?t=17856
http://virusinfo.info/showthread.php?t=17865
http://virusinfo.info/showthread.php?t=18347
http://virusinfo.info/showthread.php?t=18609
Файлы на диске
c:\windows\system32\drivers\spool.exe
%USERPROFILE%\local settings\application data\cftmon.exe
%System%\msftp.dll - детектируется как Trojan-Downloader.Win32.Small.hwc
Способ запуска
%USERPROFILE%\Local Settings\Application Data\cftmon.exe
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, autoload
C:\WINDOWS\system32\drivers\spool.exe
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, ntuser
Последний раз редактировалось AndreyKa; 25.02.2008 в 20:05.
-
-
AdWare.Win32.Virtumonde.gen
Алиасы
Adware.Virtumonde-587 (ClamAV)
AdWare.Virtumonde.dnn (CAT-QuickHeal)
AdWare.Win32.Agent.zpb (Rising)
Lop (AVG)
Spyware/Virtumonde (Panda)
TR/Vundo.DWB (AntiVir)
Troj/Virtum-Gen (Sophos)
Trojan-Downloader.Win32.ConHook.gen (Sunbelt)
Trojan:Win32/Vundo.X (Microsoft)
Trojan.Metajuan (Symantec)
Trojan.Virtumod.260 (DrWeb)
Trojan.Vundo.DWB (BitDefender)
Vundo.gen56 (F-Secure)
W32/Virtumonde.PM (F-Prot)
Win32:TratBHO (Avast)
Win32/Adware.SecToolbar (NOD32v2)
Описание
Устанавливается вредоносными программами или скачивается с вредоносных сайтов с использованием эксплойтов для Internet Explorer.
Функционирует как модуль системных процессов winlogon.exe, lsass.exe и др.
Завершает работу антивирусных программ. Скачивает программы из Интернета.
Показывает рекламу при посещении определенных веб-сайтов.
Источники:
http://www.sophos.com/virusinfo/anal...virtumgen.html
http://www.symantec.com/security_res...714-99&tabid=2 (анг.)
Встречен в темах
http://virusinfo.info/showthread.php?t=16155
http://virusinfo.info/showthread.php?t=16324
http://virusinfo.info/showthread.php?t=16346
http://virusinfo.info/showthread.php?t=16362
http://virusinfo.info/showthread.php?t=16496
http://virusinfo.info/showthread.php?t=16840
http://virusinfo.info/showthread.php?t=17466
http://virusinfo.info/showthread.php?t=17710
http://virusinfo.info/showthread.php?t=17785
http://virusinfo.info/showthread.php?t=17953
http://virusinfo.info/showthread.php?t=17974
http://virusinfo.info/showthread.php?t=17985
http://virusinfo.info/showthread.php?t=18159
http://virusinfo.info/showthread.php?t=18295
http://virusinfo.info/showthread.php?t=18839
Файлы на диске
dll файл со случайным именем из латинских букв в папке C:\WINDOWS\system32
Например:
C:\WINDOWS\system32\utqgukka.dll
C:\WINDOWS\System32\mllmj.dll
Способ запуска
BHO, CLSID случайный.
Последний раз редактировалось AndreyKa; 01.03.2008 в 15:57.
-
-
Сообщение от
AndreyKa
Ползучая эпидемия продолжается.
Я добавил в AVZ эвристику для детекта описанных выше зверей семейства Worm.Win32.AutoRun.*, обновление баз с этой фичей выйдет завтра
-
-
Trojan-Downloader.Win32.Agent.ici
Алиасы
PSW.Generic5.AIDA (AVG)
Rootkit/Spammer.AGA (Panda)
Spy-Agent.bv (McAfee)
Troj/Pushu-Gen (Sophos)
Trojan-Downloader.Agent.ZAR (Sunbelt)
Trojan.Downloader-22556 (ClamAV)
Trojan.Nudos (Prevx1)
Trojan.Pandex.AD (BitDefender)
Trojan.Rntm (DrWeb)
Trojan/Downloader.Agent.ici (TheHacker)
VirTool:WinNT/Cutwail.F (Microsoft)
W32/Agent.EETK (Norman)
W32/Agent.ZAR!tr.dldr (Fortinet)
Win-Trojan/Agent.25472 (AhnLab-V3)
Win32/Wigon.AV (NOD32v2)
Worm.Ntech.sd (CAT-QuickHeal)
Worm/Ntech.Z.4 (AntiVir)
Описание
Прописывет себя в реестр для повторного запуска.
Загружает вредоносные программы из сети Интернет и устанавливает их на компьютер.
Понижает уровень защиты системы безопасности.
Функционирует как модуль пространства ядра.
http://www.sophos.com/virusinfo/anal...jpushugen.html (анг.)
Встречен в темах
http://virusinfo.info/showthread.php?t=17454
http://virusinfo.info/showthread.php?t=17707
http://virusinfo.info/showthread.php?t=17882
Файлы на диске
sys файл в папке C:\WINDOWS\System32\Drivers со случайным именем из трех латинских букв и двух цифр. Например:
C:\WINDOWS\System32\Drivers\Nsf45.sys
C:\WINXP\system32\Drivers\Vch17.sys
Способ запуска
Драйвер с именем как у файла.
Группа: SCSI Class
Внешние проявления (со слов пользователей)
Процесс svchost.exe постоянно требует связи с разнообразными адресами.
-