-
Worm.Win32.Feebs.nj
Алиасы
Mal/EncPk-BW (Sophos)
Proxy.DRI (Prevx1)
VirTool:Win32/Obfuscator.C (Microsoft)
W32/Feebs.dr (McAfee)
W32/Feebs.LO.worm (Panda)
W32/Feebs.nj (TheHacker)
W32.Feebs@mm (Symantec)
W32/Smalltroj.CTKS (Norman)
Win-Trojan/Agent.45324 (AhnLab-V3)
Win32.HLLM.Graz (DrWeb)
Win32.Worm.Feebs.NN (BitDefender)
Win32/Mocalo.EU (NOD32v2)
Worm.Feebs.nj (CAT-QuickHeal)
Worm/Feebs.JS (AVG)
Win32/VMalum.BWGJ (eTrust-Vet)
Worm.Feebs-88 (ClamAV)
Описание
Почтовый червь из этого семейства: Worm.Win32.Feebs.h
Встречен в темах
http://virusinfo.info/showthread.php?t=18041
http://virusinfo.info/showthread.php?t=18340
http://virusinfo.info/showthread.php?t=18832
Файлы на диске
dll И exe файл в системной папке со случайным именем начинающимся на ms, например:
c:\windows\system32\mspe.exe
c:\windows\system32\msuq32.dll
Способ запуска
1. Active Setup
Файл: c:\windows\system32\ms??.exe
CLSID случайный
2. Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\ShellSer viceObjectDelayLoad,
Файл: ms????.dll
Внешние проявления (со слов пользователей)
"слетел" установленный DrWeb, при попытке запустить установку инсталлятор закрывается.
При попытке запуска AVZ - его окно появляется и тут же исчезает.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Trojan-Downloader.Win32.Agent.kif и Trojan-Downloader.Win32.Agent.ldb
Алиасы
Cutwail.dll (McAfee)
Downloader.Agent.ADET (AVG)
TR/Dldr.Agent.kif.9 (AntiVir)
Trojan.Pandex (Symantec)
Trojan.Win32.Undef.dqm (Rising)
Trojan/Downloader.Agent.kif (TheHacker)
TrojanDownloader.Agent.kif (CAT-QuickHeal)
TrojanDropper:Win32/Cutwail.Y (Microsoft)
W32/Agent.KIF!tr.dldr (Fortinet)
Win-Trojan/OnlineGameHack.11776.R (AhnLab-V3)
Встречен в темах
http://virusinfo.info/showthread.php?t=19097
http://virusinfo.info/showthread.php?t=19121
http://virusinfo.info/showthread.php?t=19189
http://virusinfo.info/showthread.php?t=19204
http://virusinfo.info/showthread.php?t=19223
http://virusinfo.info/showthread.php?t=19253
http://virusinfo.info/showthread.php?t=19295
http://virusinfo.info/showthread.php?t=19474
http://virusinfo.info/showthread.php?t=19849
http://virusinfo.info/showthread.php?t=20020
http://virusinfo.info/showthread.php?t=20030
http://virusinfo.info/showthread.php?t=20091
Файлы на диске
C:\WINDOWS\system32\WLCtrl32.dll
11776 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32, DLLName
WLCtrl32.dll
Отличия Trojan-Downloader.Win32.Agent.ldb
Алиасы
Downloader.Agent.ADJW (AVG)
TR/Dldr.Agent.ldb.12 (AntiVir)
Trojan.DL.Win32.Paiman.a (Rising)
Trojan.Dldr.Agent.ldb.12 (Webwasher-Gateway)
Trojan.DownLoader.50037 (DrWeb)
Trojan.DR.Pandex.Gen.4 (VirusBuster)
Trojan/Downloader.Agent.ldb (TheHacker)
TrojanDownloader.Agent.ldb (CAT-QuickHeal)
TrojanDropper:Win32/Cutwail.Y (Microsoft)
W32/Agent.dam (Norman)
W32/Agent.LDB!tr.dldr (Fortinet)
Win32/Wigon.BA (NOD32v2)
http://www.virustotal.com/ru/analisi...3d2ba667afdea1
Встречен в темах
http://virusinfo.info/showthread.php?t=19006
http://virusinfo.info/showthread.php?t=19726
http://virusinfo.info/showthread.php?t=19776
http://virusinfo.info/showthread.php?t=19786
http://virusinfo.info/showthread.php?t=19817
http://virusinfo.info/showthread.php?t=19858
http://virusinfo.info/showthread.php?t=19910
Последний раз редактировалось AndreyKa; 22.03.2008 в 22:07.
-
-
Trojan-Spy.Win32.Agent.bll
Алиасы
a variant of Win32/Spy.Agent.NFB (NOD32v2)
Mal/Proxy-B (Sophos)
PSW.Generic5.ALAY (AVG)
Spammer:Win32/Newacc.A (Microsoft)
TR/Agent.39936.31 (AntiVir)
Trojan-Spy.Win32.Agent.bll (Kaspersky)
Trojan.Agent.39 (CAT-QuickHeal)
Trojan.Hotreg (DrWeb)
Trojan.Win32.Undef.dpc (Rising)
Trojan/Spy.Agent.bll (TheHacker)
W32/Agent.EKVA (Norman)
Win32/VMalum.BXRS (eTrust-Vet)
Описание
Пытается войти на сайт http://login.live.com/
Обращается к сайту http://www.google.com/
Встречен в темах
http://virusinfo.info/showthread.php?t=19097
http://virusinfo.info/showthread.php?t=19189
http://virusinfo.info/showthread.php?t=19295
http://virusinfo.info/showthread.php?t=19474
Файлы на диске
Файл со случайным именем bn?.tmp в папке c:\windows\temp
Например, c:\windows\temp\bna.tmp
39936 байт
Последний раз редактировалось AndreyKa; 13.03.2008 в 22:05.
-
-
Trojan-PSW.Win32.OnLineGames.ryg, Trojan-PSW.Win32.OnLineGames.tya, Trojan-PSW.Win32.OnLineGames.rin
Алиасы
PSW.OnlineGames.AFDW (AVG)
PWS-LegMir.gen.k (McAfee)
Trojan.MulDrop.6474 (DrWeb)
Trojan.PSW.Win32.GameOLSys.gp (Rising)
Trojan.PWS.OnlineGames.QZU (BitDefender)
Trojan/PSW.OnLineGames.ryg (TheHacker)
VirTool:Win32/Obfuscator.T (Microsoft)
W32.Gammima.AG (Symantec)
W32/Lineage.HPX.worm (Panda)
W32/OnLineGames.RYG!tr.pws (Fortinet)
W32/Smalltroj.CXLD (Norman)
Win32/Frethog.ALU (eTrust-Vet)
Win32/PSW.OnLineGames.NMT (NOD32v2)
amvo0.dll
PSW.OnlineGames.AFDX (AVG)
PWS-LegMir.gen.k.dll (McAfee)
Trj/Lineage.HQA (Panda)
Trojan.PSW.Win32.GameOLSys.gp (Rising)
Trojan.PWS.OnlineGames.QZU (BitDefender)
Trojan.PWS.Wsgame.3434 (DrWeb)
TrojanPSW.OnLineGames.ryg (CAT-QuickHeal)
W32/OnLineGames.ALCY (Norman)
W32/PWS!be7d (F-Prot)
Описание
Червь распространяющийся копированием самого себя на сменные носители. Похищает пароли к различным интернет-играм.
Встречен в темах
http://virusinfo.info/showthread.php?t=18758
http://virusinfo.info/showthread.php?t=18853
http://virusinfo.info/showthread.php?t=19048
http://virusinfo.info/showthread.php?t=19092
http://virusinfo.info/showthread.php?t=19149
http://virusinfo.info/showthread.php?t=19350
Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo1.dll
autorun.inf и u2.cmd - на всех дисках в корневой папке
Способ запуска
1. Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
Отличия Trojan-PSW.Win32.OnLineGames.tya
Алиасы
Trj/Lineage.HUC (Panda)
Trojan.PWS.OnlineGames.SQS (BitDefender)
TrojanPSW.OnLineGames.tya (CAT-QuickHeal)
Win32/PSW.OnLineGames.NMP (NOD32v2)
http://www.virustotal.com/ru/analisi...53e81c52d22d2a
Встречен в темах
http://virusinfo.info/showthread.php?t=19579
http://virusinfo.info/showthread.php?t=19608
http://virusinfo.info/showthread.php?t=19648
http://virusinfo.info/showthread.php?t=19715
http://virusinfo.info/showthread.php?t=19799
Файлы на диске
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
72192 байт
Отличия Trojan-PSW.Win32.OnLineGames.rin
Алиасы
Infostealer.Gampass (Symantec)
Trj/Lineage.HNG (Panda)
Trojan.PSW.Win32.GameOLSys.en (Rising)
Trojan.PWS.Wsgame.2387 (DrWeb)
TrojanPSW.OnLineGames.rin (CAT-QuickHeal)
VB.BHZ (Prevx1)
W32/NSAnti.GLV (Norman)
W32/Onlinegames.AZG (F-Prot)
W32/OnLineGamesEncPK.fam!tr.pws (Fortinet)
Win32: Onlinegames-CAZ (Avast)
Win32/PSW.OnLineGames.NLK (NOD32v2)
Worm:Win32/Taterf.D (Microsoft)
http://www.virustotal.com/ru/analisi...12560ea3912c1f
Встречен в темах
http://virusinfo.info/showthread.php?t=15961
http://virusinfo.info/showthread.php?t=18270
http://virusinfo.info/showthread.php?t=18810
http://virusinfo.info/showthread.php?t=19141
http://virusinfo.info/showthread.php?t=19962
Файлы на диске
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
54784 байт
Последний раз редактировалось AndreyKa; 22.03.2008 в 11:01.
-
-
Trojan.Win32.Agent.fiw
Алиасы
Agent.OSL (AVG)
TR/Agent.fiw (AntiVir)
Trj/Spammer.AGG (Panda)
Trojan.Agent.AGZD (BitDefender)
Trojan.Agent.fiw (CAT-QuickHeal)
W32/Agent.FIW!tr (Fortinet)
W32/Trojan2.VJU (F-Prot)
Описание
Модуль пространства ядра.
Имеет возможности отправки сообщений электронной почты.
Встречен в темах
http://virusinfo.info/showthread.php?t=18863
http://virusinfo.info/showthread.php?t=18986
http://virusinfo.info/showthread.php?t=19407
http://virusinfo.info/showthread.php?t=19690
http://virusinfo.info/showthread.php?t=20168
Файлы на диске
C:\WINDOWS\system32\powermgmt.sys
46592 байт
Способ запуска
Драйвер: AdvPowerMgmt
Описание: Advanced Power Management
Файл: C:\WINDOWS\system32\powermgmt.sys
Последний раз редактировалось AndreyKa; 23.03.2008 в 00:03.
-
-
Trojan-Downloader.Win32.Agent.kvg, Trojan-Downloader.Win32.Agent.luo
Алиасы
Downloader.Agent.ADGB (AVG)
TR/Dldr.Agent.kvg.5 (AntiVir)
Trojan.Dldr.Agent.kvg.5 (Webwasher-Gateway)
Trojan.DownLoader.50037 (DrWeb)
Trojan.DR.Pandex.Gen.4 (VirusBuster)
Trojan.Pandex.AH (BitDefender)
Trojan.Win32.Undef.dvc (Rising)
TrojanDownloader.Agent.kvg (CAT-QuickHeal)
TrojanDropper:Win32/Cutwail.Y (Microsoft)
W32/Agent.KVG!tr.dldr (Fortinet)
Win-Trojan/Downloader.11776.FQ (AhnLab-V3)
Встречен в темах
http://virusinfo.info/showthread.php?t=19393
http://virusinfo.info/showthread.php?t=19405
http://virusinfo.info/showthread.php?t=19408
http://virusinfo.info/showthread.php?t=19438
http://virusinfo.info/showthread.php?t=19488
http://virusinfo.info/showthread.php?t=19492
http://virusinfo.info/showthread.php?t=19578
http://virusinfo.info/showthread.php?t=19584
http://virusinfo.info/showthread.php?t=19602
Файлы на диске
C:\WINDOWS\system32\WLCtrl32.dll
11776 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32, DLLName
WLCtrl32.dll
Внешние проявления (со слов пользователей)
Большой интернет-трафик.
Отличия Trojan-Downloader.Win32.Agent.luo
Алиасы
Downloader.Agent.ADQQ (AVG)
TR/Dldr.Agent.luo.8 (AntiVir)
Trojan.Dldr.Agent.luo.8 (Webwasher-Gateway)
Trojan.DR.Pandex.Gen.4 (VirusBuster)
Trojan.Dropper.Cutwail.B (BitDefender)
TrojanDropper:Win32/Cutwail.Y (Microsoft)
http://www.virustotal.com/ru/analisi...0f67cac71e8fe3
Встречен в темах
http://virusinfo.info/showthread.php?t=20200
http://virusinfo.info/showthread.php?t=20202
http://virusinfo.info/showthread.php?t=20230
http://virusinfo.info/showthread.php?t=20246
http://virusinfo.info/showthread.php?t=20247
http://virusinfo.info/showthread.php?t=20263
http://virusinfo.info/showthread.php?t=20275
http://virusinfo.info/showthread.php?t=20276
http://virusinfo.info/showthread.php?t=20343
http://virusinfo.info/showthread.php?t=20457
Последний раз редактировалось AndreyKa; 29.03.2008 в 17:14.
-
-
Trojan-Downloader.Win32.Small.ipy
Алиасы
SHeur.AVLX (AVG)
TR/Dldr.Small.ipy.1 (AntiVir)
Trj/Downloader.SVU (Panda)
Troj/Agent-GNA (Sophos)
Trojan.Dldr.Small.ipy.1 (Webwasher-Gateway)
Trojan.DownLoader.49367 (DrWeb)
Trojan.Downloader.Small.AAKR (BitDefender)
Trojan.Win32.Undef.dls (Rising)
Trojan.Zlob.GLG (VirusBuster)
Trojan/Downloader.Small.ipy (TheHacker)
TrojanDownloader.Small.ipy (CAT-QuickHeal)
W32/DLoader.FQPL (Norman)
Win-Trojan/Downloader.47000 (AhnLab-V3)
Win32:Small-JMK (Avast)
Win32/Ruternam.B (eTrust-Vet)
Win32/TrojanDownloader.Agent.NVX (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=18842
http://virusinfo.info/showthread.php?t=19035
http://virusinfo.info/showthread.php?t=19417
http://virusinfo.info/showthread.php?t=19557
Файлы на диске
%UserProfile%\local settings\application data\cftmon.exe
C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
c:\windows\system32\drivers\spools.exe
c:\windows\system32\ftpdll.dll - Trojan-Downloader.Win32.Small.hwc
Возможно наличие autorun.exe в корне сменного диска.
Способ запуска
1) Служба: Schedule
Описание: Планировщик заданий
C:\WINDOWS\system32\drivers\spool.exe
Группа: SchedulerGroup
2) Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, autoload
C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
Последний раз редактировалось AndreyKa; 15.03.2008 в 14:15.
-
-
Trojan.Win32.DNSChanger.apn
Алиасы
BackDoor.Mbot (DrWeb)
DNSChanger.G (AVG)
Trojan:Win32/Alureon.gen!D (Microsoft)
Trojan.DNSChanger-3010 (ClamAV)
Trojan.DNSChanger.Gen!Pac.13 (VirusBuster)
Trojan.DNSChanger.RP (BitDefender)
Trojan.Packed.7 (Symantec)
W32/DNSChanger.AFEN (Norman)
W32/DNSChanger.APN!tr (Fortinet)
W32/Trojan2.ADFA (F-Prot)
Win32.Trojan.DNSChanger.apn (CAT-QuickHeal)
Win32.TrojanDownloader.Zlob.BMQ (NOD32v2)
Описание
Внедряет свой код в другие процессы, в списке выполняемых отсутствует.
Блокирует доступ к своему файлу:
Сообщение от
лог AVZ
Прямое чтение C:\WINDOWS\system32\kdrpy.exe
Внесен в базы 10 января.
Встречен в темах
http://virusinfo.info/showthread.php?t=18638
http://virusinfo.info/showthread.php?t=19006
http://virusinfo.info/showthread.php?t=19417
http://virusinfo.info/showthread.php?t=19469
http://virusinfo.info/showthread.php?t=19530
http://virusinfo.info/showthread.php?t=19945
http://virusinfo.info/showthread.php?t=20037
http://virusinfo.info/showthread.php?t=20113
http://virusinfo.info/showthread.php?t=20796
Файлы на диске
В папке C:\WINDOWS\system32 exe файл со случайным именем, начинающемся с kd, например:
C:\WINDOWS\system32\kdiwc.exe
C:\WINDOWS\system32\kdzko.exe
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, System
kd???.exe
Внешние проявления (со слов пользователей)
Со страниц поисковиков и из адресной строки перенаправляет на другие сайты.
Последний раз редактировалось AndreyKa; 01.04.2008 в 23:42.
-
-
Trojan-Downloader.Win32.Small.hyi
Алиасы
DeepScan:Generic.Malware.SYddld!!.62250B64 (BitDefender)
Downloader.Generic6.AFSF (AVG)
TR/Dldr.Small.hyi (AntiVir)
Trojan.DL.Small.ADKD (VirusBuster)
Trojan.Dldr.Small.hyi (Webwasher-Gateway)
Trojan.Downloader-22662 (ClamAV)
Trojan.DownLoader.45364 (DrWeb)
Trojan/Downloader.Small.hyi (TheHacker)
TrojanDownloader.Small.hyi (CAT-QuickHeal)
W32/DLoader.FKTQ (Norman)
W32/Downldr2.AZOS (F-Prot)
W32/Small.HYI!tr.dldr (Fortinet)
Win-Trojan/Downloader.5632.FZ (AhnLab-V3)
Описание
Прописывает себя в автозапуск.
Вносит себя как имеющее доступ приложение в настройки Брандмауэра Windows.
Отключает режим автономной работы в Internet Explorer.
Пытается загрузить файлы с сайта sbapodremer.biz (в нестоящее время не доступен).
Добавлен в базы 27 января.
Встречен в темах
http://virusinfo.info/showthread.php?t=17033
http://virusinfo.info/showthread.php?t=17034
http://virusinfo.info/showthread.php?t=18854
http://virusinfo.info/showthread.php?t=19545
Файлы на диске
exe файл во временной папке со случайным именем, начинающемся с win, например:
c:\temp\wincpkwg.exe
c:\docume~1\admini~1\locals~1\temp\winlxrn.exe
5632 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, IpSec
%Temp%\win*.exe
%Temp% - временная папка.
* - несколько латинских букв.
-
-
FraudTool.Win32.UltimateDefender.cm
Алиасы
Adware.UltimateX-89 (ClamAV)
Aplicacion/UltimateDefender.cm (TheHacker)
BackDoor.Ntrootkit.X (AVG)
FakeAlert-C.dr (McAfee)
FraudTool.UltimateDefender.cm (CAT-QuickHeal)
Rootkit/Nurech.BC (Panda)
TR/Agent.34304.19 (AntiVir)
Trojan.Agent.34304.19 (Webwasher-Gateway)
Trojan.Fakealert.458 (DrWeb)
VirTool:WinNT/Xantvi.A (Microsoft)
Win32:Agent-QNI (Avast)
Win32/Eldycow!generic (eTrust-Vet)
http://www.virustotal.com/ru/analisi...2f97aec641caaa
Встречен в темах
http://virusinfo.info/showthread.php?t=19388
http://virusinfo.info/showthread.php?t=19389
http://virusinfo.info/showthread.php?t=19435
http://virusinfo.info/showthread.php?t=19551
http://virusinfo.info/showthread.php?t=20023
Файлы на диске
C:\WINDOWS\System32\Drivers\Beep.SYS
Способ запуска
Подменяет собой системный драйвер с таким же именем и запускается вместо него.
Внешние проявления (со слов пользователей)
Блокирует запуск avz, hijackthis и др. антивирусных программ, но это решаемо сменой имени файлов.
Последний раз редактировалось AndreyKa; 22.03.2008 в 22:01.
-
-
Сообщение от
AndreyKa
Я пробил данный экспонат по базе анализатора, он был отловлен и изучен 5.03.2008. Он состоит из дроппера, который в случае запуска создает на диске C:\WINDOWS\system32\dllcache\figaro.sys. Затем он копирует figaro.sys поверх существующего C:\WINDOWS\system32\drivers\beep.sys, причем повторяет эту операцию три раза подряд (видимо для надежности, в том числе создавая копию в \dllcache). После этого он создает на диске C:\WINDOWS\system32\braviax.exe, и прописывает его в автозапуск в ключе Windows\CurrentVersion\Run. Затем он запрашивает системную привилегию SeShutdownPrivilege и при помощи системной функции ExitWindowsEx завершает работу системы. Далее он создает файл с именем delself.bat для самоуничтожение, запускает его и завершает работу (предполагается, что завершение работы потребует несколько секунд и BAT файл успеет отработать и стереть дроппер).
Анализатору известно 10 разновидностей данного зловреда, размер варьируется от 58 до 65 кб, дата первого обнаружения ITW 4.03.2008. Дропнутый файл BEEP.SYS имеет размер около 35 кб, отвечает за противодействие антивирусам и антивирусным утилитам. Блокировка по именам, в коде драйвера открытым текстом содержится база с именами файлов (в частности, он блокирует AVP, AVZ, GMER, GureIT, AVG ...).
Последний раз редактировалось AndreyKa; 15.03.2008 в 17:07.
-
-
Trojan.Win32.Dialer.yz
Алиасы
BackDoor-CVT (McAfee)
Dialer-2137 (ClamAV)
Dialer.RME (AVG)
Troj/Nebule-Gen (Sophos)
Trojan:Win32/Adialer.OP (Microsoft)
Trojan.Dialer.yz (Ewido)
Trojan.Mezzia.91 (DrWeb)
Trojan.Mezzia.Gen (BitDefender)
Trojan.Nebuler (Symantec)
Trojan.Win32.Dialer.yz (VBA32)
Trojan/Dialer.yz (TheHacker)
W32/Nebule.YZ!tr (Fortinet)
W32/Smalldoor.dam (Norman)
W32/Trojan2.ABSU (F-Prot)
http://www.virustotal.com/ru/analisi...6d8ba4bcf7c7fb
Встречен в темах
http://virusinfo.info/showthread.php?t=17317
http://virusinfo.info/showthread.php?t=18295
http://virusinfo.info/showthread.php?t=18962
http://virusinfo.info/showthread.php?t=19551
http://virusinfo.info/showthread.php?t=20569
http://virusinfo.info/showthread.php?t=20881
http://virusinfo.info/showthread.php?t=21581
Файлы на диске
dll файл в папке \WINDOWS\SYSTEM32 со случайным именем, начинающимся с win и оканчивающимся на "32", например:
\WINDOWS\SYSTEM32\winpdc32.dll
\WINDOWS\system32\winpez32.dll
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\_имя_файла_, DLLName
Последний раз редактировалось AndreyKa; 16.04.2008 в 21:44.
-
-
Backdoor.Win32.Small.cyb
Алиасы
Backdoor.Small.CIG (BitDefender)
Backdoor.Small.cyb (CAT-QuickHeal)
Proxy.YRL (AVG)
Trj/Eldycow.B (Panda)
Troj/FakeVir-AU (Sophos)
Trojan.Perfcoo (Symantec)
Trojan.Proxy.1739 (DrWeb)
Trojan.Win32.Undef.dng (Rising)
TrojanDownloader:Win32/Eldycow.gen!A (Microsoft)
W32/PpcFake.A!tr (Fortinet)
W32/Smalltroj.CXSS (Norman)
Win32.TrojanProxy.Agent.NDN (VBA32)
Win32/Eldycow.AA (eTrust-Vet)
Win32/TrojanProxy.Agent.NDN (NOD32v2)
http://www.virustotal.com/ru/analisi...d6b21c7269f4fa
Встречен в темах
http://virusinfo.info/showthread.php?t=19388
http://virusinfo.info/showthread.php?t=19389
http://virusinfo.info/showthread.php?t=19551
http://virusinfo.info/showthread.php?t=19727
http://virusinfo.info/showthread.php?t=19940
http://virusinfo.info/showthread.php?t=20023
Файлы на диске
C:\WINDOWS\system32\cru629.dat
6144 байт
Устанавливается вместе с такими файлами как
C:\WINDOWS\system32\dllcache\beep.sys
C:\WINDOWS\system32\braviax.exe
C:\WINDOWS\system32\users32.dat
Способ запуска
C:\WINDOWS\system32\cru629.dat
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
Последний раз редактировалось AndreyKa; 22.03.2008 в 22:00.
-
-
FraudTool.Win32.Reanimator.a
Алиасы
Aplicacion/Reanimator.a (TheHacker)
Application/WinReanimator (Panda)
Downloader.Agent.ACAC (AVG)
Downloader.MisleadApp (Symantec)
FraudTool.Reanimator.a (CAT-QuickHeal)
PHISH/FraudTool.Reanimator.A (AntiVir)
SystemDefender:Spyware-a (Prevx1)
Trojan.Fakealert.452 (DrWeb)
W32/DLoader.FRGT (Norman)
W32/Reanimator.A (Fortinet)
Win-AppCare/Reanimator.308712 (AhnLab-V3)
Win32/Adware.WinReanimator (NOD32v2)
http://www.virustotal.com/ru/analisi...eda388f065d50f
Встречен в темах
http://virusinfo.info/showthread.php?t=19388
http://virusinfo.info/showthread.php?t=19389
http://virusinfo.info/showthread.php?t=19727
http://virusinfo.info/showthread.php?t=19940
http://virusinfo.info/showthread.php?t=20975
Файлы на диске
C:\Program Files\WinReanimator\WinReanimator.exe
C:\Program Files\WinReanimator\WinReanimator.dll
и др.
Способ запуска
Инсталятор. Устанавливается с сайта www.winreanimator.com путем обмана посетителей, под видом программы, защищающей компьютер от вредоносного ПО.
Регулярно обновляется.
Последний раз редактировалось AndreyKa; 12.04.2008 в 20:31.
-
-
Backdoor.Win32.Small.cup
Алиасы
Backdoor:Win32/Small.BA (Microsoft)
BackDoor.Generic9.SWO (AVG)
BackDoor.Kiddy (DrWeb)
Backdoor.Small.clw (Ewido)
Backdoor.Small.cup (CAT-QuickHeal)
BDS/Small.cty (AntiVir)
Trojan.Backdoor.Small.cty (Webwasher-Gateway)
Trojan.Small-5100 (ClamAV)
W32/DLoader.FNIJ (Norman)
Win-Trojan/Backdoor.13312.D (AhnLab-V3)
Win32:Small-CHC (Avast)
http://www.virustotal.com/ru/analisi...c27716073b08ce
Встречен в темах
http://virusinfo.info/showthread.php?t=18034
http://virusinfo.info/showthread.php?t=18074
http://virusinfo.info/showthread.php?t=19786
Файлы на диске
C:\WINDOWS\system32\wininet.exe
C:\WINDOWS\system32\svc32_3.exe
13824 байт
Создает файл C:\WINDOWS\system32\svshost.dll - Backdoor.Win32.Small.cvg
-
-
FraudTool.Win32.Reanimator.a
Сообщение от
AndreyKa
Данный ITW экспонат был изучен анализатором 22.02.2008, небольшое дополнение по его работе:
1. В процессе запуска зловред может выдать окно, якобы сообщение об ошибке (это делается для "отвода глаз" пользователя). Другие варианты выводят окно с прогресс-индикатором, показывающим процесс загрузки и установки
2. Обращается к сайту www.winreanimator.com и загружает с него несколько ZIP архивов
3. Создает папку C:\Program Files\WinReanimator, дропает в нее библиотеку unzip32.dll, загружает ее и применяет для распаковки загруженных архивов. Далее в данной папке создаются файлы WinReanimator.exe WinReanimator.dll pthreadVC2.dll un.ico install.exe htmlayout.dll, папки Microsoft.VC80.CRT (с библиотеками MS msvcm80.dll msvcp80.dll msvcr80.dll) и папка DATA, в которой находится файл, судя по сигнатурам похожий на урезнанную базу от CLAV. install.exe - это копия загрузчика зловреда
4. WinReanimator.exe прописывается в автозапуск
Сам загрузчик написан на Delphi. Размер - 308 кб, на текущий момент известно 8 разновидностей. Созданный им да диске WinReanimator после установки запускается, "сканирует" систему. На эталонной системе Windows XP SP2 он "находит" 28 шпионских объектов, причем показывает в логе имена заведомо несуществующих в системе объектов. Для "лечения" необходимо купить программу ... За счет автозапуска процесс "сканирования" повторяется при каждой загрузке. При закрытии WinReanimator сворачивается в трей. У зловреда как правило есть действующий деинсталлятор
Последний раз редактировалось AndreyKa; 17.03.2008 в 10:02.
-
-
Trojan-Downloader.Win32.Tibs.vz
Алиасы
I-Worm/Nuwar.N (AVG)
Storm.Worm (Sunbelt)
Trj/Alanchum.XH (Panda)
Trojan:Win32/Tibs.FS (Microsoft)
Trojan.DownLoader.19256 (DrWeb)
Trojan.Peed-154 (ClamAV)
TROJAN.PEED.AK (Prevx1)
Trojan.Peed.JAL (BitDefender)
Trojan.Tibs.Gen!Pac.G (VirusBuster)
Trojan.Win32.Zhelatin (VBA32)
Trojan/Downloader.Tibs.vz (TheHacker)
W32/Tibs.BNJZ (Norman)
W32/Tibs.L.gen!Eldorado (F-Prot)
Win32.Trojan-Downloader.Tibs.qt.4 (CAT-QuickHeal)
Win32/SillyDl.DZN (eTrust-Vet)
WORM/Zhelatin.Gen (AntiVir)
http://www.virustotal.com/ru/analisi...853fa49e93c067
Встречен в темах
http://virusinfo.info/showthread.php?t=19250
http://virusinfo.info/showthread.php?t=19709
http://virusinfo.info/showthread.php?t=19977
Файлы на диске
C:\WINDOWS\system32\wind32.exe
или
C:\WINDOWS\system32\win32.exe
16848 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, System
Примечание
Детектируется эвристиком AVZ: Подозрение на Trojan-Downloader.Win32.Tibs.wc
Обращается к сайту bestnums.net
-
-
Trojan-Downloader.Win32.Agent.leu, Trojan-Downloader.Win32.Agent.mkb
Алиасы
Downloader.Agent.ADKO (AVG)
Spammer:Win32/Newacc.A (Microsoft)
TR/Dldr.Agent.leu.1 (AntiVir)
Trojan.Dldr.Agent.leu.1 (Webwasher-Gateway)
Trojan.DownLoader.50217 (DrWeb)
TrojanDownloader.Agent.leu (CAT-QuickHeal)
W32/Agent.EVGM (Norman)
W32/Agent.LEU!tr.dldr (Fortinet)
Win32/Spy.Agent.NFN (NOD32v2)
http://www.virustotal.com/ru/analisi...244ea3de753f14
Встречен в темах
http://virusinfo.info/showthread.php?t=19777
http://virusinfo.info/showthread.php?t=19849
http://virusinfo.info/showthread.php?t=19996
http://virusinfo.info/showthread.php?t=20020
http://virusinfo.info/showthread.php?t=20030
http://virusinfo.info/showthread.php?t=20091
Файлы на диске
Файлы с расширением tmp и именем начинающимся с bn в папке c:\windows\temp, например:
c:\windows\temp\bn3.tmp
c:\windows\temp\bnf.tmp
46080 байт
Способ запуска
Загружается из Интернета и запускается другой вредоносной программой (предположительно Trojan-Downloader.Win32.Agent.kif).
Внешние проявления (со слов пользователей)
Запускаются лишние процессы svchost.exe и Internet Explorer.
Отличия Trojan-Downloader.Win32.Agent.mkb
Дополнительные алиасы
Downloader.Agent.AEWS (AVG)
TR/Dldr.Agent.mkb.5 (AntiVir)
Trojan.Dldr.Agent.mkb.5 (Webwasher-Gateway)
Trojan.DownLoader.56617 (DrWeb)
W32/Agent.FDVK (Norman)
Win-Trojan/Agent.46592.CZ (AhnLab-V3)
Win32/SillyDl.EDE (eTrust-Vet)
http://www.virustotal.com/ru/analisi...e042084c3665f1
Встречен в темах
http://virusinfo.info/showthread.php?t=21013
http://virusinfo.info/showthread.php?t=21056
http://virusinfo.info/showthread.php?t=21113
http://virusinfo.info/showthread.php?t=21129
http://virusinfo.info/showthread.php?t=21140
http://virusinfo.info/showthread.php?t=21208
http://virusinfo.info/showthread.php?t=21648
http://virusinfo.info/showthread.php?t=21818
http://virusinfo.info/showthread.php?t=21829
Файлы на диске
46592 байт
Способ запуска
Загружается из Интернета и запускается другой вредоносной программой (одной из семейства Trojan-Downloader.Win32.Mutant).
Последний раз редактировалось AndreyKa; 22.04.2008 в 08:38.
-
-
Rootkit.Win32.Agent.abe, Trojan.Win32.Srizbi.j
Алиасы
Agent.2.BT (AVG)
Rootkit.Agent.aaq (Ewido)
Rootkit.Srizbi.Gen (VirusBuster)
Rootkit/Agent.FGN (Panda)
Srizbi.sys (McAfee)
Troj/RKAgen-Fam (Sophos)
Trojan:Win32/Srizbi.gen (Microsoft)
Trojan.Sentinel (DrWeb)
Trojan.Srizbi.a (CAT-QuickHeal)
Trojan.Srizbi.AX (BitDefender)
Trojan.Win32.Undef.czb (Rising)
Trojan/Agent.abe (TheHacker)
W32/Rootkit.AVX (Norman)
W32/Trojan2.UOG (F-Prot)
Win-Trojan/Rootkit.167424 (AhnLab-V3)
Win32:Srizbi (Avast)
http://www.virustotal.com/ru/analisi...ebff54f43941d#
Описание
Рассылает спам, использует методы руткита для сокрытия своего присутствия в системе. Запускается в безопасном режиме загрузки Windows.
Детектируется эвристиком AVZ: Подозрение на Trojan.Win32.Srizbi.j
Функционирует как модуль пространства ядра. В списке драйверов AVZ отсутствует.
Встречен в темах
http://virusinfo.info/showthread.php?t=18620
http://virusinfo.info/showthread.php?t=19409
http://virusinfo.info/showthread.php?t=19821
http://virusinfo.info/showthread.php?t=20185
http://virusinfo.info/showthread.php?t=20680
http://virusinfo.info/showthread.php?t=20690
Файлы на диске
Драйвер в папке C:\WINDOWS\system32\Drivers со случайным именем с двумя цифрами на конце, например:
C:\WINDOWS\system32\Drivers\Urbh37.sys
C:\WINDOWS\system32\drivers\grande48.sys
167936 байт
Способ запуска
Драйвер.
Отличия Trojan.Win32.Srizbi.j
Дополнительные алиасы
Rootkit/Agent.IGL (Panda)
Trojan.Rootkit-654 (ClamAV)
Trojan.Srizbi.j (Ewido)
W32/RKAgen.J!tr (Fortinet)
Win32.Srizbi.j (eSafe)
Win32/Rootkit.Agent.HU (NOD32v2)
http://www.virustotal.com/ru/analisi...b335385840a0c5
Встречен в темах
http://virusinfo.info/showthread.php?t=19858
http://virusinfo.info/showthread.php?t=20185
http://virusinfo.info/showthread.php?t=20222
Последний раз редактировалось AndreyKa; 06.04.2008 в 12:29.
-
-
Rootkit.Win32.Podnuha.ak и Rootkit.Win32.Podnuha.ay
Алиасы
RKIT/Podnuha.AK.1 (AntiVir)
Rootkit.Podnuha.AK.1 (Webwasher-Gateway)
Trojan:Win32/Boaxxe.B (Microsoft)
Trojan.DownLoader.54066 (DrWeb)
Trojan/Podnuha.ak (TheHacker)
W32/Podnuha.AK!tr.rkit (Fortinet)
W32/Rootkit.EKT (Norman)
http://www.virustotal.com/ru/analisi...f855f44fbca11b
Описание
Функцонирует как модуль Проводника.
Удаляет из автозагрузки SpybotSD TeaTimer.
Может детектироватся AVZ как: Подозрение на Rootkit.Win32.Podnuha.al
Встречен в темах
http://virusinfo.info/showthread.php?t=19430
http://virusinfo.info/showthread.php?t=20048
http://virusinfo.info/showthread.php?t=20373
Файлы на диске
dll файл в папке C:\WINDOWS\system32 со случайным именем, например:
c:\windows\system32\adsnd.dll
C:\WINDOWS\system32\pstorsv.dll
Способ запуска
Модуль расширения Internet Explorer, BHO
CLSID случайный.
Отличия Rootkit.Win32.Podnuha.ay
Дополнительные Алиасы
BackDoor.Generic9.ADUG (AVG)
RKIT/Podnuha.AY.2 (AntiVir)
Rootkit.Podnuha.AY.2 (Webwasher-Gateway)
Trojan.DownLoader.54960 (DrWeb)
Trojan/Podnuha.ay (TheHacker)
W32/Podnuha.AY!tr.rkit (Fortinet)
W32/Rootkit.EQN (Norman)
Win-Trojan/Podnuha.98048.D (AhnLab-V3)
http://www.virustotal.com/ru/analisi...a339e3f647f113
Встречен в темах
http://virusinfo.info/showthread.php?t=19996
http://virusinfo.info/showthread.php?t=20247
http://virusinfo.info/showthread.php?t=20412
http://virusinfo.info/showthread.php?t=21622
Последний раз редактировалось AndreyKa; 18.04.2008 в 21:15.
-