-
Trojan.Win32.ConnectionServices.r и Trojan.Win32.ConnectionServices.w
Алиасы
Adware.BitAcc (DrWeb)
Generic10.UZ (AVG)
Trojan.Generic.133331 (BitDefender)
TrojanClicker:Win32/RuPass (Microsoft)
W32/Trojan2.AFYX (F-Prot)
http://www.virustotal.com/ru/analisi...fa5fc851ce29ad
Описание
Распространяется сайтом letitbit.net под видом "ускорителя":
Сообщение от
letitbit.net
Bit Accelerator
позволяет увеличить скорость до 10 раз. Установите нашу программу и получите файл
Широкое распространение данного трояна обеспечивает схема подкупа распространителей ссылок:
Сообщение от
letitbit.net
Мы платим вам деньги за уникальные загрузки ваших файлов.
Цена за 1000 уникальных доунлоадов, варьируется, от 5$ до 15$ - в зависимости от качества трафика (посетителей)
Встречен в темах
http://virusinfo.info/showthread.php?t=19917
http://virusinfo.info/showthread.php?t=20246
http://virusinfo.info/showthread.php?t=20270
http://virusinfo.info/showthread.php?t=20406
http://virusinfo.info/showthread.php?t=20563
http://virusinfo.info/showthread.php?t=22924
Файлы на диске
c:\program files\connectionservices\connectionservices.dll
454144 байт
Способ запуска
Модули расширения Internet Explorer, BHO
CLSID {6D7B211A-88EA-490c-BAB9-3600D8D7C503}
Внешние проявления (со слов пользователей)
Переадресация браузера на ненужные сайты.
Отличия Trojan.Win32.ConnectionServices.w
Алиасы
Fakesvc.D (AVG)
TR/ConnectionServices.W (AntiVir)
Trojan.BhoSpy.2 (DrWeb)
Trojan.Clicker.Win32.ConnectionSrv.a (Rising)
Trojan.ConnectionServices.w (CAT-QuickHeal)
Trojan.Generic.241832 (BitDefender)
Trojan.Spy-32751 (ClamAV)
TrojanClicker:Win32/RuPass.B (Microsoft)
W32/BitAccelerator.HF (Norman)
W32/ConnectionServices.W!tr (Fortinet)
http://www.virustotal.com/ru/analisi...5d40ee7d68631e
Встречен в темах
http://virusinfo.info/showthread.php?t=21600
http://virusinfo.info/showthread.php?t=22786
http://virusinfo.info/showthread.php?t=22924
http://virusinfo.info/showthread.php?t=23040
http://virusinfo.info/showthread.php?t=23067
http://virusinfo.info/showthread.php?t=23165
http://virusinfo.info/showthread.php?t=23532
http://virusinfo.info/showthread.php?t=23539
http://virusinfo.info/showthread.php?t=23729
Файл на диске
462336 байт
Последний раз редактировалось AndreyKa; 01.06.2008 в 23:13.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Trojan.Win32.Agent.gjv, Trojan.Win32.Agent.fde, Trojan.Win32.Agent.fxk
Алиасы
Agent.QZP (AVG)
TR/Agent.iae (AntiVir)
Trojan.Agent.hhc (CAT-QuickHeal)
Trojan.DL.BServ.Gen (VirusBuster)
Trojan.Inject.GF (BitDefender)
Trojan.Okuks (DrWeb)
W32/Agent.EWQN (Norman)
Win-Trojan/Agent.24576.KW (AhnLab-V3)
http://www.virustotal.com/ru/analisi...4a3a6feccec295
Встречен в темах
http://virusinfo.info/showthread.php?t=19996
http://virusinfo.info/showthread.php?t=20544
http://virusinfo.info/showthread.php?t=20547
http://virusinfo.info/showthread.php?t=20569
http://virusinfo.info/showthread.php?t=20632
http://virusinfo.info/showthread.php?t=20907
Файлы на диске
Файл со случайным именем (base*32.dll) в папке C:\WINDOWS\system32, например:
C:\WINDOWS\system32\basesecn32.dll
24576 байт
Способ запуска
Прописывает свой автозапуск в реестре оригинальным способом, в ключе Windows раздела [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems].
Так что при удалениии файла компьютер не может загрузиться в любом режиме.
Примечание
Антивирус DrWeb CureIt! может либо "вылечить" троянскую библиотеку, чтобы она загружалась, но была безвредной, либо удалить, исправив при этом реестр.
В случае, если файл уже был удален и загрузка не возможна, загрузитесь с загрузочного диска типа Bart CD и скопируйте имеющийся в папке С:\WINDOWS\system32 файл basesrv.dll в ту же папку под именем удаленного файла.
Отличия Trojan.Win32.Agent.fde
Дополнительные алиасы
Agent.OHU (AVG)
TR/Agent.fde.1 (AntiVir)
Trj/Agent.HYT (Panda)
Trojan:Win32/Agent.ADH (Microsoft)
Trojan.Agent.fbo (CAT-QuickHeal)
Trojan.Agent.fde.1 (Webwasher-Gateway)
Trojan.DoS.Win32.Opdos (Prevx1)
W32/Agent.EGPL (Norman)
Win-Trojan/Agent.24576.KO (AhnLab-V3)
Win32/BHO.NCK (NOD32v2)
http://www.virustotal.com/ru/analisi...7ff766f6541c02
Встречен в темах
http://virusinfo.info/showthread.php?t=19313
http://virusinfo.info/showthread.php?t=19346
http://virusinfo.info/showthread.php?t=20772
Отличия Trojan.Win32.Agent.fxk
Дополнительные алиасы
Agent.PRJ (AVG)
W32/Agent.EXRV (Norman)
Win-Trojan/Agent.24576.KH (AhnLab-V3)
http://www.virustotal.com/ru/analisi...4a3a6feccec295
Встречен в темах
http://virusinfo.info/showthread.php?t=18609
http://virusinfo.info/showthread.php?t=19006
http://virusinfo.info/showthread.php?t=19121
http://virusinfo.info/showthread.php?t=20397
http://virusinfo.info/showthread.php?t=20714
http://virusinfo.info/showthread.php?t=20907
http://virusinfo.info/showthread.php?t=22199
Последний раз редактировалось AndreyKa; 29.04.2008 в 22:59.
-
-
Trojan-Downloader.Win32.Small.trp, Worm.Win32.Socks.au
Алиасы
Downloader.Generic7.DOA (AVG)
TR/Dldr.Small.trp (AntiVir)
Trojan.Dldr.Small.trp (Webwasher-Gateway)
Trojan.PWS.Pace (DrWeb)
TrojanDownloader.Small.trp (CAT-QuickHeal)
W32/DLoader.GLCE (Norman)
http://www.virustotal.com/ru/analisi...c3f2cfbe61fc04
Встречен в темах
http://virusinfo.info/showthread.php?t=20782
http://virusinfo.info/showthread.php?t=20884
http://virusinfo.info/showthread.php?t=20930
http://virusinfo.info/showthread.php?t=20944
http://virusinfo.info/showthread.php?t=21388
http://virusinfo.info/showthread.php?t=21555
http://virusinfo.info/showthread.php?t=21725
http://virusinfo.info/showthread.php?t=22211
Файлы на диске
%UserProfile%\cftmon.exe
C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe
c:\windows\system32\drivers\spools.exe
Файлы имеют случайный размер, так как в конец файла дописывается "мусор".
Способ запуска
1) Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, autoload
%UserProfile%\cftmon.exe
2) Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, autoload
%UserProfile%\cftmon.exe
3) Нестандартный ключ Shell\Open для "exefile": "C:\WINDOWS\system32\drivers\spools.exe "%1" %*"
Отличия Worm.Win32.Socks.au
Алиасы
PSW.Agent.SPY (AVG)
Trojan.DownLoader.56630 (DrWeb)
W32/Socks.au (TheHacker)
W32/Socks.B.worm (Panda)
Win32:Socks-F (Avast)
Win32.Worm.Socks.D (BitDefender)
Win32/PSW.Agent.NHI (NOD32v2)
Win32/Ruternam!generic.2 (eTrust-Vet)
Worm:Win32/Agent.AF (Microsoft)
Worm.Socks-3 (ClamAV)
Worm.Socks.C (VirusBuster)
Worm/Socks.AU (AntiVir)
http://www.virustotal.com/ru/analisi...ddab0fd1d767bd
Встречен в темах
http://virusinfo.info/showthread.php?t=21064
http://virusinfo.info/showthread.php?t=21096
http://virusinfo.info/showthread.php?t=21169
http://virusinfo.info/showthread.php?t=21195
http://virusinfo.info/showthread.php?t=22211
Дополнительные способы запуска
4) Служба: Schedule
Описание: Планировщик заданий
C:\WINDOWS\system32\drivers\spool.exe
Группа: SchedulerGroup
5) Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, ntuser
C:\WINDOWS\system32\drivers\spools.exe
6) Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, ntuser
C:\WINDOWS\system32\drivers\spools.exe
Последний раз редактировалось AndreyKa; 01.05.2008 в 17:34.
-
-
Trojan.Win32.Pakes.clw
Алиасы
Backdoor.SDBot.DFCV (BitDefender)
Generic10.FSZ (AVG)
Mal/Emogen-G (Sophos)
Trojan.DoS.Win32.Opdos (Prevx1)
Trojan.Pakes.clw (CAT-QuickHeal)
Trojan.Proxy.3057 (DrWeb)
W32/Smalltroj.DQHU (Norman)
http://www.virustotal.com/ru/analisi...1308e59a6b56d2
Описание
Функционирует как модуль процесса c:\windows\system32\winlogon.exe
Рассылает спам.
Встречен в темах
http://virusinfo.info/showthread.php?t=20794
http://virusinfo.info/showthread.php?t=20925
http://virusinfo.info/showthread.php?t=21027
http://virusinfo.info/showthread.php?t=21837
Файлы на диске
C:\WINDOWS\system32\sysfldr.dll
14336 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sysfldr, DLLName
Файл: sysfldr.dll
Внешние проявления (со слов пользователей)
Постоянная сетевая активность при подключении к Интернету.
Последний раз редактировалось AndreyKa; 22.04.2008 в 09:11.
-
-
Trojan-Downloader.Win32.Agent.lsw
Алиасы
Downloader.Agent.ADPL (AVG)
TR/Dldr.Agent.lsw (AntiVir)
Trj/Downloader.TAV (Panda)
Troj/Agent-GUC (Sophos)
TROJAN.AGENT.GEN (Prevx1)
Trojan.CL.Zirit.B (VirusBuster)
Trojan.Click.18023 (DrWeb)
Trojan.Clicker.Win32.Undef.c (Rising)
Trojan.Dldr.Agent.lsw (Webwasher-Gateway)
Trojan.Downloader.JJSF (BitDefender)
Trojan.Dropper-5285 (ClamAV)
Trojan/Downloader.Agent.lsw (TheHacker)
TrojanClicker:Win32/Zirit.X (Microsoft)
TrojanDownloader.Agent.lsw (CAT-QuickHeal)
W32/Agent.LSW!tr.dldr (Fortinet)
W32/Downldr2.BGGB (F-Prot)
Win-Trojan/Agent.14378.B (AhnLab-V3)
Win32:Agent-SVM (Avast)
Win32/SillyDl.EBM (eTrust-Vet)
Win32/TrojanClicker.Agent.NCU (NOD32v2)
http://www.virustotal.com/ru/analisi...157b91054c40b6
Встречен в темах
http://virusinfo.info/showthread.php?t=20280
http://virusinfo.info/showthread.php?t=20596
http://virusinfo.info/showthread.php?t=21169
Файлы на диске
dll файл в подпапке со случайным именем папки C:\WINDOWS\Installer. Имя файла может быть разным:
C:\WINDOWS\Installer\{d7c88581-a5ad-41f5-986d-2a963e850500}\AlrtCheck.dll
C:\WINDOWS\Installer\{8f200620-9bdd-48f4-9fb6-53abb00f8173}\UnknownSrv.dll
C:\WINDOWS\Installer\{30b210fd-2fae-4432-97f1-3668528dff51}\RunOnceAlrt.dll
14378 байт.
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad
-
-
Trojan-Dropper.Win32.Small.apl
Алиасы
Dropper.Small.apl (Ewido)
Dropper.Win32.Agent.nxs (Rising)
Dropper/Downloader.70207 (AhnLab-V3)
Generic.VDU (AVG)
TR/Drop.Small.apl (AntiVir)
Trj/Dropper.UN (Panda)
Troj/Dropper-LC (Sophos)
Trojan.Drop.Small.apl (Webwasher-Gateway)
Trojan.Dropper-829 (ClamAV)
Trojan.Dropper.Small.APL (BitDefender)
Trojan.MulDrop.4181 (DrWeb)
TrojanDropper.Small.apl (CAT-QuickHeal)
W32/Dropper.BMZ (F-Prot)
W32/Perlovga (McAfee)
W32/Smalldrp.JHW (Norman)
Win32:Agent-ILR (Avast)
Win32.Small.apl (eSafe)
Win32/Perlovga.A (eTrust-Vet)
Win32/TrojanDropper.Small.APL (NOD32v2)
Worm:Win32/Perlovga.dr (Microsoft)
Worm.DR.Perlovga.B (VirusBuster)
http://www.virustotal.com/ru/analisi...2d61796d527dda
Описание
При запуске создает и запускает вредоносные файлы:
C:\WINDOWS\system32\temp2.exe - Backdoor.Win32.Small.lo
C:\WINDOWS\system32\temp1.exe - Worm.Win32.Perlovga.c
Пытается подключиться к hnmy.3322.org:8888
Встречен в темах
http://virusinfo.info/showthread.php?t=20496
http://virusinfo.info/showthread.php?t=20507
http://virusinfo.info/showthread.php?t=20508
http://virusinfo.info/showthread.php?t=22099
http://virusinfo.info/showthread.php?t=22155
http://virusinfo.info/showthread.php?t=22358
Файлы на диске
C:\WINDOWS\svchost.exe
70207 байт
Способ запуска
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Windows, Load
Файл: C:\WINDOWS\svchost.exe
Последний раз редактировалось AndreyKa; 03.05.2008 в 20:19.
-
-
AdWare.Win32.BHO.ajq
Алиасы
Ad-Spyware.Bho.ajq.2 (Webwasher-Gateway)
ADSPY/Bho.ajq.2 (AntiVir)
Adware Generic3.YB (AVG)
AdWare.BHO.ajq (CAT-QuickHeal)
Troj/BHO-FA (Sophos)
Trojan.BHO.Delf.M (BitDefender)
Trojan.BHO.HCZ (VirusBuster)
W32/BHO.BXO (Norman)
Win32/Adware.BHO.AJQ (NOD32v2)
http://www.virustotal.com/ru/analisi...897e860454f920
Встречен в темах
http://virusinfo.info/showthread.php?t=20700
http://virusinfo.info/showthread.php?t=20796
http://virusinfo.info/showthread.php?t=20944
http://virusinfo.info/showthread.php?t=21195
http://virusinfo.info/showthread.php?t=21555
http://virusinfo.info/showthread.php?t=21824
http://virusinfo.info/showthread.php?t=21829
http://virusinfo.info/showthread.php?t=22211
Файлы на диске
c:\autoex.dll
444416 байт
Способ запуска
BHO
CLSID: {F2F2A4CB-DAAD-4D0C-BDFC-E945647202C2}
Файл: c:\autoex.dll
Последний раз редактировалось AndreyKa; 02.05.2008 в 23:12.
-
-
Trojan-Downloader.Win32.Mutant.ci, Trojan-Downloader.Win32.Mutant.da, Trojan-Downloader.Win32.Mutant.hx
Алиасы
Downloader.Generic7.EBJ (AVG)
TR/Agent.11264.71 (AntiVir)
Trj/BedeTres.Q (Panda)
Trojan.Agent.11264.71 (Webwasher-Gateway)
Trojan.DownLoader.54123 (DrWeb)
Trojan.DR.Pandex.Gen.4 (VirusBuster)
Trojan.Kobcka.DK (BitDefender)
Trojan.Win32.Undef.ems (Rising)
TrojanDownloader.Mutant.ci (CAT-QuickHeal)
TrojanDropper:Win32/Cutwail.Z (Microsoft)
W32/DLoader.GMYU (Norman)
W32/Mutant.CI!tr.dldr (Fortinet)
Win32/Cutwail!generic.1 (eTrust-Vet)
http://www.virustotal.com/ru/analisi...07b9906c072ccd
Встречен в темах
http://virusinfo.info/showthread.php?t=20908
http://virusinfo.info/showthread.php?t=20925
http://virusinfo.info/showthread.php?t=20933
http://virusinfo.info/showthread.php?t=20988
http://virusinfo.info/showthread.php?t=21027
http://virusinfo.info/showthread.php?t=21031
http://virusinfo.info/showthread.php?t=21126
http://virusinfo.info/showthread.php?t=21195
http://virusinfo.info/showthread.php?t=21208
Файлы на диске
C:\WINDOWS\system32\WLCtrl32.dll
10752 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32,
DLLName: WLCtrl32.dll
Отличия Trojan-Downloader.Win32.Mutant.da
Дополнительные алиасы
Dropper.Win32.Agent.zij (Rising)
TR/Dldr.Mutant.CZ (AntiVir)
Trojan.Cutwail.z (CAT-QuickHeal)
Trojan.Dldr.Mutant.CZ (Webwasher-Gateway)
Trojan.Downloader-29322 (ClamAV)
Trojan.DownLoader.54123 (DrWeb)
Trojan.Kobcka.DM (BitDefender)
http://www.virustotal.com/ru/analisi...5fbc2c046d8b8b
Встречен в темах
http://virusinfo.info/showthread.php?t=21068
http://virusinfo.info/showthread.php?t=21100
http://virusinfo.info/showthread.php?t=21129
Отличия Trojan-Downloader.Win32.Mutant.hx
Дополнительные алиасы
Dropper.Win32.Cutwail.s (Rising)
Trojan.DownLoader.56882 (DrWeb)
TrojanDownloader.Mutant.hx (CAT-QuickHeal)
Win32/Wigon.BP (NOD32v2)
http://www.virustotal.com/ru/analisi...59523b4353ed61
Встречен в темах
http://virusinfo.info/showthread.php?t=21013
http://virusinfo.info/showthread.php?t=21310
http://virusinfo.info/showthread.php?t=21320
http://virusinfo.info/showthread.php?t=21348
http://virusinfo.info/showthread.php?t=21356
http://virusinfo.info/showthread.php?t=21379
http://virusinfo.info/showthread.php?t=21380
http://virusinfo.info/showthread.php?t=21388
http://virusinfo.info/showthread.php?t=21555
http://virusinfo.info/showthread.php?t=21944
Последний раз редактировалось AndreyKa; 25.04.2008 в 20:02.
-
-
Rootkit.Win32.Agent.aag, Rootkit.Win32.Agent.aih
Алиасы
BackDoor.Generic9.TDG (AVG)
Rootkit.575 (BitDefender)
Rootkit.Agent.aag (Ewido)
Rootkit/Agent.IFM (Panda)
Spammer:WinNT/Srizbi.A (Microsoft)
Trojan.Rootkit-761 (ClamAV)
Trojan.Spambot.2830 (DrWeb)
Trojan.Srizbi (Symantec)
Trojan/Agent.aag (TheHacker)
W32/Agent.AAG!tr.rkit (Fortinet)
W32/Rootkit.APT (F-Prot)
W32/Rootkit.DHI (Norman)
Win-Trojan/Agent.143872.I (AhnLab-V3)
http://www.virustotal.com/ru/analisi...72fe378960bbe4
Описание
Функционирует как модуль пространства ядра.
Рассылает СПАМ.
Руткит противодействует AVZ, при выполнении стандартных скриптов вызывается неустранимая ошибка (BSOD) и компьютер перезагружается. Загружается и в безопасном режиме.
Встречен в темах
http://virusinfo.info/showthread.php?t=20592
http://virusinfo.info/showthread.php?t=21064
http://virusinfo.info/showthread.php?t=21555
Файлы на диске
Драйвер в папке C:\WINDOWS\system32\Drivers со случайным именем с двумя цифрами на конце, например:
C:\WINDOWS\System32\Drivers\Qnj38.sys
C:\WINDOWS\system32\drivers\symavc32.sys
143872 байт
Способ запуска
Драйвер. В логе AVZ виден только как работающий модуль пространства ядра.
Отличия Rootkit.Win32.Agent.aih
Дополнительные алиасы
Generic10.FSN (AVG)
Rootkit.Agent.aih (CAT-QuickHeal)
Rootkit.Srizbi.Gen (VirusBuster)
Rootkit/Agent.IGL (Panda)
Spammer:WinNT/Srizbi.gen (Microsoft)
Srizbi.sys (McAfee)
Trojan.Rootkit-654 (ClamAV)
Trojan.Sentinel (DrWeb)
Trojan.Srizbi.AX (BitDefender)
Trojan.Srizbi.j (Ewido)
Trojan.Win32.Srizbi.j (VBA32)
Trojan.Win32.Undef.czb (Rising)
W32/Rootkit.AVX (Norman)
W32/Trojan2.UOG (F-Prot)
Win-Trojan/Rootkit.167424 (AhnLab-V3)
Win32.Srizbi.j (eSafe)
Win32/Agent.NRK (NOD32v2)
Win32/Fuzfle.AN (eTrust-Vet)
http://www.virustotal.com/ru/analisi...03a7d875acbee4
Встречен в темах
http://virusinfo.info/showthread.php?t=21555
http://virusinfo.info/showthread.php?t=22141
http://virusinfo.info/showthread.php?t=22165
http://virusinfo.info/showthread.php?t=22211
http://virusinfo.info/showthread.php?t=22317
http://virusinfo.info/showthread.php?t=22383
http://virusinfo.info/showthread.php?t=22421
http://virusinfo.info/showthread.php?t=23005
http://virusinfo.info/showthread.php?t=23626
http://virusinfo.info/showthread.php?t=24009
http://virusinfo.info/showthread.php?t=24016
Файл на диске
167936 байт
Последний раз редактировалось AndreyKa; 07.06.2008 в 00:53.
-
-
Email-Worm.Win32.Bagle.of
Алиасы
I-Worm.Bagle.of (CAT-QuickHeal)
Mal/Behav-191 (Sophos)
TR/Bagle.Gen.B (AntiVir)
Trojan.Bagle.Gen.B (Webwasher-Gateway)
W32/Bagle.gen (McAfee)
W32/Bagle.RP.worm (Panda)
W32/PackBag.A (Fortinet)
Win32.Bagle.SUQ@mm (BitDefender)
Win32.HLLM.Beagle (DrWeb)
Worm:Win32/Bagle.gen!C (Microsoft)
http://www.virustotal.com/ru/analisi...8bd681b5b9761a
Описание
Почтовый червь.
Останавливает службы:
- ALG "Служба шлюза уровня приложения"
- RasMan "Диспетчер подключений удаленного доступа"
- SharedAccess "Брандмауэр Windows/Общий доступ к Интернету (ICS)"
- TapiSrv "Телефония"
- wscsvc "Центр обеспечения безопасности"
Использует технологию руткита для сокрытия присутствия в операционной системе.
Препятствует запуску антивирусных программ по именам файлов.
У всех файлов одинаковая контрольная сумма CRC32: 2144DF1C, не смотря на то, что содержимое файлов разное.
Встречен в темах
http://virusinfo.info/showthread.php?t=17148
http://virusinfo.info/showthread.php?t=17312
http://virusinfo.info/showthread.php?t=20072
http://virusinfo.info/showthread.php?t=21586
http://virusinfo.info/showthread.php?t=21685
http://virusinfo.info/showthread.php?t=23473
Файлы на диске
C:\windows\system32\wintems.exe
C:\windows\system32\mdelk.exe
Встречается вместе с файлами семейства Trojan-Downloader.Win32.Bagle:
C:\windows\system32\drivers\hldrrr.exe
C:\windows\system32\drivers\srosa.sys
Способ запуска
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, german.exe
Файл: C:\WINDOWS\system32\wintems.exe
Последний раз редактировалось AndreyKa; 28.05.2008 в 21:02.
-
-
AdWare.Win32.Virtumonde.pmw
Алиасы
Sus/Behav-200 (Sophos)
Trojan.Virtumod.367 (DrWeb)
Trojan.Vundo.EHW (BitDefender)
W32/Virtumonde.URK (Norman)
http://www.virustotal.com/ru/analisi...aa77ecb0fcc74b
Описание
Рекламная программа, показывающая всплывающие сообщения.
Функционирует как модуль сразу нескольких процессов.
Встречается вместе с другими представителями семейства AdWare.Win32.Virtumonde.
Экземпляры файлов отличаются друг от друга приписанным в конце файла случайным набором чисел.
Встречен в темах
http://virusinfo.info/showthread.php?t=21839
http://virusinfo.info/showthread.php?t=21860
http://virusinfo.info/showthread.php?t=21879
Файлы на диске
Файл dll со случайным именем из букв в папке C:\WINDOWS\system32, например:
C:\Windows\system32\tuvrqojg.dll
88128 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run
-
-
Trojan.Win32.Pakes.csd, Trojan.Win32.SubSys.ce
Алиасы
Generic10.OWF (AVG)
Trojan.Agent.AGKK (BitDefender)
Trojan.Okuks.27 (DrWeb)
Trojan.Pakes.csd (CAT-QuickHeal)
W32/Agent.AZ.gen!Eldorado (F-Prot)
http://www.virustotal.com/ru/analisi...65d5fe0dcbbc41
Встречен в темах
http://virusinfo.info/showthread.php?t=21668
http://virusinfo.info/showthread.php?t=21896
http://virusinfo.info/showthread.php?t=21940
http://virusinfo.info/showthread.php?t=21952
http://virusinfo.info/showthread.php?t=22062
http://virusinfo.info/showthread.php?t=22107
Файлы на диске
Файл со случайным именем (base*32.dll) в папке C:\WINDOWS\system32, например:
C:\WINDOWS\system32\baseouqwr32.dll
24576 байт
Способ запуска
Прописывает свой запуск в реестре, в ключе Windows раздела [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems].
При удалениии файла компьютер не может загрузиться в любом режиме.
Примечание
В случае, если файл уже был удален и загрузка не возможна, загрузитесь с загрузочного диска типа Bart CD и скопируйте имеющийся в папке С:\WINDOWS\system32 файл basesrv.dll в ту же папку под именем удаленного файла.
Отличия Trojan.Win32.SubSys.ce
Дополнительные алиасы
Agent.STC (AVG)
TR/Inject.GF.22 (AntiVir)
Troj/Agent-GXR (Sophos)
Trojan-PWS.Papras.D (Sunbelt)
Trojan:Win32/Subsys.C (Microsoft)
Trojan.DL.BServ.Gen (VirusBuster)
Trojan.Inject.GF.22 (Webwasher-Gateway)
Trojan.PWS.Papras.D (BitDefender)
Trojan.SubSys.ce (CAT-QuickHeal)
W32/Smalltroj.ECGR (Norman)
W32/SubSys.CE!tr (Fortinet)
Win-Trojan/Subsys.24576.C (AhnLab-V3)
http://www.virustotal.com/ru/analisi...5b644f5d21d699
Встречен в темах
http://virusinfo.info/showthread.php?t=21064
http://virusinfo.info/showthread.php?t=21082
http://virusinfo.info/showthread.php?t=21191
http://virusinfo.info/showthread.php?t=21672
http://virusinfo.info/showthread.php?t=22072
http://virusinfo.info/showthread.php?t=22173
http://virusinfo.info/showthread.php?t=22765
Последний раз редактировалось AndreyKa; 13.05.2008 в 21:23.
-
-
Trojan-Spy.Win32.Zbot.bbi, Trojan-Spy.Win32.Zbot.bcn и Trojan-Spy.Win32.Zbot.bdg
Алиасы
Mal/Behav-066 (Sophos)
SHeur.BFFQ (AVG)
TR/Spy.ZBot.bbi (AntiVir)
Trj/Sinowal.DW (Panda)
Trojan.Proxy.3111 (DrWeb)
Trojan.Spy.ZBot.BN (BitDefender)
Trojan/Spy.Zbot.bbi (TheHacker)
TrojanSpy.Zbot.GO (VirusBuster)
W32/Zbot.KA (Norman)
Win32: Zbot-KK (Avast)
Win32/VMalum.CPYF (eTrust-Vet)
http://www.virustotal.com/ru/analisi...9759c85817abb1
Описание
Троян со свойствами руткита. Отключает файрволы, похищает конфиденциальную финансовую информацию (номера кредитных карт, данные идентификации онлайновых банковских служб), делает снимки экрана, скачивает дополнительные програмные модули и открывает удаленный доступ к зараженной системе для злоумышленника.
Внедряет свой исполняемый код в функционирующие системные процессы.
Связывается с веб-сайтом по адресу: 195.2.253.94
Встречен в темах
http://virusinfo.info/showthread.php?t=21783
http://virusinfo.info/showthread.php?t=21818
http://virusinfo.info/showthread.php?t=22003
http://virusinfo.info/showthread.php?t=22027
http://virusinfo.info/showthread.php?t=23677
Файлы на диске
C:\WINDOWS\system32\ntos.exe
Размер файла случайный. К его телу размером 47104 байт приписывается "мусор" случайного размера.
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
Отличия Trojan-Spy.Win32.Zbot.bcn
Алиасы
Mal/EncPk-DI (Sophos)
Pakes.AB (AVG)
TR/Spy.ZBot.bcn (AntiVir)
Trojan.Proxy.2842 (DrWeb)
Trojan.Spy.Wsnpoem.BA (BitDefender)
Trojan.Spy.ZBot.bcn (Webwasher-Gateway)
Trojan.Zbot-655 (ClamAV)
Trojan/Spy.Zbot.bcn (TheHacker)
TrojanSpy.Zbot.bcn (CAT-QuickHeal)
W32/Zbot.KU (Norman)
Win32: Zbot-LM (Avast)
http://www.virustotal.com/ru/analisi...dd0fec8c503023
Встречен в темах
http://virusinfo.info/showthread.php?t=21672
http://virusinfo.info/showthread.php?t=21931
http://virusinfo.info/showthread.php?t=21952
http://virusinfo.info/showthread.php?t=22262
http://virusinfo.info/showthread.php?t=23141
http://virusinfo.info/showthread.php?t=23696
Отличия Trojan-Spy.Win32.Zbot.bdg
Дополнительные алиасы
Infostealer.Banker.C (Symantec)
PWS:Win32/Zbot.EQ (Microsoft)
Trojan.NTos.Gen!Pac.3 (VirusBuster)
Trojan.Proxy.2003 (DrWeb)
Trojan.Spy.Wsnpoem.BF (BitDefender)
Trojan.Zbot-666 (ClamAV)
Trojan/Spy.Zbot.bdg (TheHacker)
TrojanSpy.Zbot.bdg (CAT-QuickHeal)
W32/Zbot.OI (Norman)
http://www.virustotal.com/ru/analisi...a653f4b22448a4
Встречен в темах
http://virusinfo.info/showthread.php?t=21811
http://virusinfo.info/showthread.php?t=22141
http://virusinfo.info/showthread.php?t=22165
http://virusinfo.info/showthread.php?t=22900
Файл на диске
Размер тела 45056 байт + мусор случайного размера
Последний раз редактировалось AndreyKa; 01.06.2008 в 11:44.
-
-
SpamTool.Win32.Agent.is, SpamTool.Win32.Agent.kf и SpamTool.Win32.Agent.ki
Последний раз редактировалось AndreyKa; 05.06.2008 в 21:44.
-
-
Trojan-Downloader.Win32.Small.ivo
Алиасы
Dropper.Agent.HHK (AVG)
Generic9.AUST (Prevx1)
W32/Dropper.LAY (Authentium)
TR/Agent.fwi (AntiVir)
Troj/Drop-M (Sophos)
Trojan.DL.Win32.Small.tqz (Rising)
Trojan.Dropper.Zirit.B (BitDefender)
Trojan.MulDrop.13008 (DrWeb)
Trojan/Downloader.Small.ivo (TheHacker)
TrojanDownloader.Small.ivo (CAT-QuickHeal)
TrojanDropper:Win32/Agent.FYI (Microsoft)
W32/DLoader.GEAG (Norman)
W32/Dropper.LAY (F-Prot)
W32/Small.IVO!tr.dldr (Fortinet)
Win-Trojan/Downloader.10927 (AhnLab-V3)
Win32:Agent-UDD (Avast)
Win32/Pripecs.JK (eTrust-Vet)
Win32/TrojanDropper.Agent.EYA (NOD32v2)
http://www.virustotal.com/ru/analisi...fc9c87cb379494
Описание
Загружается вредоносной программой Trojan-Downloader.Win32.Small.iuq с сайта void.gribokk.com и запускается на выполнение.
Встречен в темах
http://virusinfo.info/showthread.php?t=20113
http://virusinfo.info/showthread.php?t=21555
http://virusinfo.info/showthread.php?t=21721
http://virusinfo.info/showthread.php?t=22211
http://virusinfo.info/showthread.php?t=22531
Файлы на диске
exe файл, может иметь различные имена и находится в разных папках, например:
C:\Program Files\tmp31968.exe
C:\Program Files\bho.exe
C:\WINX\Temp\mso13.exe
размер может быть различным, так как в конец файла дописывается "мусор".
Способ запуска
В автозапуске отсутствует.
Последний раз редактировалось AndreyKa; 08.05.2008 в 23:15.
-
-
Worm.Win32.Perlovga.a
Алиасы
Backdoor.Hupigon.ADI (BitDefender)
Generic.VDT (AVG)
Trojan.Copyself (DrWeb)
Trojan.Small-4214 (ClamAV)
W32/Perlovg-D (Sophos)
W32/Perlovga.A.1 (AntiVir)
W32/Perlovga.A.worm (Panda)
W32/Perlovga.gen (TheHacker)
Win-Trojan/CopySelf.1211 (AhnLab-V3)
Win32.Perlovga.A.1 (Webwasher-Gateway)
Win32.Stration (eSafe)
Worm.Perlovga.A (VirusBuster)
Worm.Small.z (Rising)
http://www.virustotal.com/ru/analisi...914abdfab9675e
Описание
http://www.viruslist.com/ru/viruses/...virusid=161822
Встречен в темах
http://virusinfo.info/showthread.php?t=20496
http://virusinfo.info/showthread.php?t=20508
http://virusinfo.info/showthread.php?t=22099
http://virusinfo.info/showthread.php?t=22155
Файлы на диске
Файл в папке C:\WINDOWS с однимим из имен:
svchost.exe
xcopy.exe
host.exe
copy.exe
Размер 1211 байт.
Копирует себя на сменные накопители под именем copy.exe вместе с файлом autorun.inf для своего автоматического запуска.
-
-
Trojan.Win32.Inject.bdf
Алиасы
BackDoor.IRC.Nite (DrWeb)
Trj/Downloader.TLU (Panda)
Trojan.Crypt.AO (BitDefender)
W32/Smalltroj.EBAV (Norman)
Win32/VMalum.CRSQ (eTrust-Vet)
http://www.virustotal.com/ru/analisi...cfcf72d89d6ff4
Описание
Внедряет свой код в память функционирующего системного процесса svchost.exe. В списке выполняемых процессов отсутствует.
Встречен в темах
http://virusinfo.info/showthread.php?t=22019
http://virusinfo.info/showthread.php?t=22054
http://virusinfo.info/showthread.php?t=22294
Файлы на диске
exe файл в папке C:\WINDOWS\system32, имена могут быть разными:
C:\WINDOWS\system32\6to4svce.exe
C:\WINDOWS\system32\2052m.exe
37888 байт
Способ запуска
Служба. Названия и описания службы могут быть различными, например:
Служба | Описание
CryptSvcMDM | Cryptographic Services CryptSvcMDM
UPSProtectedStorage | Источник бесперебойного питания UPSProtectedStorage
WZCSVCupnphost | Беспроводная настройка WZCSVCupnphost
WmiApSrvLmHosts | WMI Performance Adapter WmiApSrvLmHosts
-
-
Trojan-Proxy.Win32.Xorpix.ds
Алиасы
a variant of Win32/TrojanProxy.Xorpix (NOD32v2)
Proxy-Agent.ai (McAfee)
Proxy.AASY (AVG)
Trojan-Proxy.Win32.Xorpix.Fam (Sunbelt)
Trojan.Proxy.3093 (DrWeb)
Trojan.Proxy.Xorpix.BS (BitDefender)
Trojan/Proxy.Xorpix.ds (TheHacker)
TrojanProxy:Win32/Xorpix.gen!E (Microsoft)
TrojanProxy.Xorpix.ds (CAT-QuickHeal)
Win32: Xorpix-AZ (Avast)
Win32.Looked.gen (eSafe)
http://www.virustotal.com/ru/analisi...899571954cc68d
Встречен в темах
http://virusinfo.info/showthread.php?t=21096
http://virusinfo.info/showthread.php?t=21195
http://virusinfo.info/showthread.php?t=21944
http://virusinfo.info/showthread.php?t=22364
Файлы на диске
C:\Documents and Settings\All Users\Документы\Settings\partnership.dll
9235 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\partnershipreg, DLLName
-
-
AdTool.Win32.VirtualNetwork.d
Алиасы
Adware/VirtualNetwork (Fortinet)
Trojan.AdVirtualNetwork (DrWeb)
http://www.virustotal.com/ru/analisi...05b985e498d0fa
Описание
Устанавливается вместе с программой Bit Accelerator c сайта letitbit.net
Встречен в темах
http://virusinfo.info/showthread.php?t=22129
http://virusinfo.info/showthread.php?t=22221
http://virusinfo.info/showthread.php?t=22296
http://virusinfo.info/showthread.php?t=22562
http://virusinfo.info/showthread.php?t=22838
http://virusinfo.info/showthread.php?t=22993
http://virusinfo.info/showthread.php?t=23029
Файлы на диске
c:\program files\virtualnetwork\virtualnetwork.dll
185856 байт
Способ запуска
BHO
Описание: VirtualNetwork Dynamic Link Library
Производитель: GemBirdCom (C) 2008
CLSID: {6C517674-DE1C-4493-977C-34A1BFAB35BA}
Последний раз редактировалось AndreyKa; 19.05.2008 в 00:57.
-
-
Trojan-Downloader.Win32.Agent.nsl
Алиасы
Cutwail.dll (McAfee)
Downloader.Agent.AGEP (AVG)
Trj/Downloader.TOU (Panda)
Troj/Pushu-Gen (Sophos)
Trojan.DL.Wigon.Gen.6 (VirusBuster)
Trojan.Downloader-33943 (ClamAV)
Trojan.DownLoader.59496 (DrWeb)
Trojan.Downloader.Agent.ZIS (BitDefender)
Trojan.Win32.Undef.fwg (Rising)
TrojanDownloader:Win32/Cutwail.S (Microsoft)
TrojanDownloader.Agent.nsl (CAT-QuickHeal)
W32/Pushu.NSL!tr (Fortinet)
Win32:Agent-WPZ (Avast)
Win32/Dallerow.C (eTrust-Vet)
Win32/Wigon (NOD32v2)
http://www.virustotal.com/ru/analisi...bf41f4e92d6bab
Описание
Защищается драйвером, работающем в режиме ядра со случайным именем из 2-4 букв и двух цифр.
Такой драйвер может детектироваться как Rootkit.Win32.Qandr.s или иначе.
Когда файл winnt32.dll удаляется драйвер восстанавливает его из файла %windir%\system32\WinData.cab
Запись в реестре также восстанавливается им.
http://www.geocities.jp/kiskzo/winnt32.dll.html (англ.)
Встречен в темах
http://virusinfo.info/showthread.php?t=22075
http://virusinfo.info/showthread.php?t=22173
http://virusinfo.info/showthread.php?t=22219
http://virusinfo.info/showthread.php?t=22489
http://virusinfo.info/showthread.php?t=22524
http://virusinfo.info/showthread.php?t=22531
http://virusinfo.info/showthread.php?t=22537
http://virusinfo.info/showthread.php?t=22669
http://virusinfo.info/showthread.php?t=23231
http://virusinfo.info/showthread.php?t=23281
http://virusinfo.info/showthread.php?t=23458
Файлы на диске
C:\WINDOWS\system32\WinNt32.dll
10240 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinNt32, DLLName
WinNt32.dll
Последний раз редактировалось AndreyKa; 29.05.2008 в 00:34.
-