Страница 7 из 9 Первая ... 3456789 Последняя
Показано с 121 по 140 из 163.

Актуальные зловреды

  1. #121
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1309

    Worm.Win32.Socks.af

    Алиасы
    SHeur.BAQW (AVG)
    Trojan.Spambot.3092 (DrWeb)
    W32/Socks.af (TheHacker)
    W32/Socks.E.worm (Panda)
    Win32:Socks-AE (Avast)
    Worm.Socks.af (Ewido)
    http://www.virustotal.com/ru/analisi...ddb9f107f9561a

    Описание
    Распространяется по локальной сети.
    При запуске создает файл со случайным именем и расширением syz в системной папке. Этот файл является Rootkit.Win32.Agent.agi (Trojan.NtRootKit.1019).

    Встречен в темах
    http://virusinfo.info/showthread.php?t=20603
    http://virusinfo.info/showthread.php?t=21684
    http://virusinfo.info/showthread.php?t=21846
    http://virusinfo.info/showthread.php?t=22535
    http://virusinfo.info/showthread.php?t=22704

    Файлы на диске
    C:\WINDOWS\system32\cssrss.exe
    29696 байт

    Способ запуска
    Ключ реестра HKEY_LOCAL_MACHINE,
    Software\Microsoft\Windows\CurrentVersion\Run, WMDM PMSP Service
    Последний раз редактировалось AndreyKa; 12.05.2008 в 00:19.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #122
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1309

    SpamTool.Win32.Agent.jn

    Алиасы
    Adware/GoodSearchNow (Panda)
    Cutwail (McAfee)
    SpamBot.G (AVG)
    SpamTool.Agent.jn (Not a Virus) (CAT-QuickHeal)
    TR/Kobcka.DS (AntiVir)
    Trojan.Kobcka.DS (BitDefender)
    Trojan.NtRootKit.1070 (DrWeb)
    VirTool:WinNT/Cutwail.gen!C (Microsoft)
    W32/Dloader.AMT!tr (Fortinet)
    W32/Pandex.AI (Norman)
    Win32/Cutwail.GH (eTrust-Vet)
    http://www.virustotal.com/ru/analisi...1928d1beee7505

    Описание
    Функционирует как модуль пространства ядра.

    Встречен в темах
    http://virusinfo.info/showthread.php?t=22782
    http://virusinfo.info/showthread.php?t=22832
    http://virusinfo.info/showthread.php?t=22874
    http://virusinfo.info/showthread.php?t=22901
    http://virusinfo.info/showthread.php?t=23231
    http://virusinfo.info/showthread.php?t=23496

    Файлы на диске
    C:\WINDOWS\System32\drivers\tcpsr.sys
    6400 байт
    Устанавливается вместе со следущими файлами:
    %System%\drivers\{случайные 3 буквы и 2 цифры}.sys - RootKit...
    %System%\WinData.cab - Trojan-Downloader.Win32.Mutant...
    %System%\WinNt32.dll - Trojan-Downloader.Win32.Mutant...

    Способ запуска
    Драйвер: tcpsr
    Последний раз редактировалось AndreyKa; 28.05.2008 в 20:27.

  4. #123
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1309

    Trojan-Dropper.Win32.Agent.rek

    Алиасы
    BackDoor.Bulknet.188 (DrWeb)
    Scagent.T (AVG)
    Trojan-Dropper.Win32.Agent.rek (GData)
    Trojan.Dropper.Cutwail.D (BitDefender)
    Trojan.Win32.Undef.ghy (Rising)
    TrojanDropper:Win32/Cutwail.AA (Microsoft)
    TrojanDropper.Agent.rek (CAT-QuickHeal)
    W32/Agent.BD.gen!Eldorado (F-Prot)
    W32/Agent.FPPA (Norman)
    W32/Agent.REK!tr (Fortinet)
    Win32/Cutwail (eTrust-Vet)
    Win32/Wigon.BY (NOD32v2)
    http://www.virustotal.com/ru/analisi...4560b0175c1c8a

    Описание
    Распространяется через взломанные web-сайты.
    Имеет свойства руткита.
    Функционирует как модуль пространства ядра. Запускается и в безопасном режиме загрузки Windows.

    Встречен в темах
    http://virusinfo.info/showthread.php?t=22695
    http://virusinfo.info/showthread.php?t=22746
    http://virusinfo.info/showthread.php?t=22779
    http://virusinfo.info/showthread.php?t=22832
    http://virusinfo.info/showthread.php?t=23076
    http://virusinfo.info/showthread.php?t=23429
    http://virusinfo.info/showthread.php?t=23475
    http://virusinfo.info/showthread.php?t=23843
    http://virusinfo.info/showthread.php?t=23850

    Файлы на диске
    Драйвер в папке C:\WINDOWS\system32\Drivers со случайным именем с двумя цифрами на конце, например:
    C:\WINDOWS\System32\drivers\Ubg84.sys
    27136 байт
    Устанавливается вместе с файлом
    %System%\WinNt32.dll - Trojan-Downloader.Win32.Mutant...

    Способ запуска
    Драйвер. Иногда отсутствует в списке драйверов лога AVZ.
    Последний раз редактировалось AndreyKa; 05.06.2008 в 00:26.

  5. #124
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1309

    Email-Worm.Win32.Zhelatin.yu

    Алиасы
    Trojan.Packed.460, Trojan.Spambot.3251, Trojan.Spambot.3253 (DrWeb)
    Trojan.Peed.PJ (BitDefender)
    Win32.Email-Worm.Zhelatin.yu.4 (CAT-QuickHeal)
    http://www.virustotal.com/ru/analisi...871d2350465cfa

    Встречен в темах
    http://virusinfo.info/showthread.php?t=22801
    http://virusinfo.info/showthread.php?t=22814
    http://virusinfo.info/showthread.php?t=22887
    http://virusinfo.info/showthread.php?t=22960
    http://virusinfo.info/showthread.php?t=22965
    http://virusinfo.info/showthread.php?t=23646

    Файлы на диске
    C:\WINDOWS\herjek.exe

    Способ запуска
    Ключ реестра HKEY_USERS,
    .DEFAULT\Software\Microsoft\Windows\CurrentVersion \Run, herjek
    Последний раз редактировалось AndreyKa; 03.06.2008 в 06:00.

  6. #125
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1309

    Trojan-Downloader.Win32.Small.vuy

    Алиасы
    Downloader.Generic7.NJL (AVG)
    Downloader.Small.vuy (Ewido)
    TR/Dldr.Small.vuy (AntiVir)
    Trj/Downloader.TRX (Panda)
    Trojan.Dldr.Small.vuy (Webwasher-Gateway)
    Trojan.DownLoader.60052 (DrWeb)
    TrojanDownloader.Small.vuy (CAT-QuickHeal)
    W32/Small.VUY!tr.dldr (Fortinet)
    http://www.virustotal.com/ru/analisi...115ffe1eb3ab03

    Описание
    В файле "прямым текстом" указана ссылка на exe-файл на хосте 195.5.116.240, расположенном в Эстонии.

    Встречен в темах
    http://virusinfo.info/showthread.php?t=22888
    http://virusinfo.info/showthread.php?t=22948
    http://virusinfo.info/showthread.php?t=23007
    http://virusinfo.info/showthread.php?t=23037

    Файлы на диске
    C:\WINDOWS\system32\subsys.dll
    4096 байт

    Способ запуска
    Ключ реестра HKEY_LOCAL_MACHINE,
    SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\subsys,
    DLLName subsys.dll

  7. #126
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1309

    Trojan-Downloader.Win32.Peregar.cg

    Алиасы
    Adware/MultimediaDecoder (Panda)
    Downloader.Generic7.IZY (AVG)
    Druogna (McAfee)
    TR/Dldr.Peregar.CG.1 (AntiVir)
    Troj/Zlob-AJC (Sophos)
    Trojan:Win32/Delflob.I (Microsoft)
    Trojan.BHO.OAS (BitDefender)
    Trojan.Dldr.Peregar.CG.1 (Webwasher-Gateway)
    Trojan.Downloader-33091 (ClamAV)
    Trojan.DownLoader.59078 (DrWeb)
    Trojan.Fakeavalert (Symantec)
    Trojan/Downloader.Peregar.cg (TheHacker)
    TrojanDownloader.Peregar.cg (CAT-QuickHeal)
    W32/Downldr2.BXCO (F-Prot)
    W32/Peregar.CG!tr.dldr (Fortinet)
    Win32: Peregar-K (Avast)
    Win32/Adware.IeDefender.NDH (NOD32v2)
    Win32/Burgspill!generic (eTrust-Vet)
    http://www.virustotal.com/ru/analisi...50aaa1e16bd60e

    Встречен в темах
    http://virusinfo.info/showthread.php?t=21900
    http://virusinfo.info/showthread.php?t=21941
    http://virusinfo.info/showthread.php?t=22833
    http://virusinfo.info/showthread.php?t=23297

    Файлы на диске
    Имя файла случайное, находиться в папке C:\WINDOWS, например:
    C:\WINDOWS\tonsakre.dll
    C:\WINDOWS\zsokry.dll
    216064 байт

    Способ запуска
    BHO
    CLSID: {95E1D855-9232-48F7-80D9-1ADB65B7939C}

  8. #127
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1309

    Trojan-Downloader.Win32.Delf.cxa

    Алиасы
    Downloader.Delf.cxa (Ewido)
    GenPack:Generic.Malware.SP!BdldPk!g.1CEB408A (BitDefender)
    Mal/Emogen-Y (Sophos)
    MalwareScope.Trojan-PSW.Game.14 (VBA32)
    SHeur.AAKQ (AVG)
    TROJ_DELF.MYR (Trend Micro)
    Trojan-Downloader.Win32.Delf.cxa (GData)
    Trojan.Downloader-17478 (ClamAV)
    Trojan.DownLoader.36467 (DrWeb)
    TrojanDownloader.Delf.cxa (CAT-QuickHeal)
    W32/Delf.CXA!tr.dldr (Fortinet)
    W32/Heuristic-210!Eldorado (F-Prot)
    W32/Hupigon.BMSP (Norman)
    Win32:Agent-SIM (Avast)
    Win32/SillyAutorun.AD (eTrust-Vet)
    Worm:Win32/SillyShareCopy.F (Microsoft)
    Worm.Win32.AvKiller.ca (Rising)
    http://www.virustotal.com/ru/analisi...0ddceb87de3f63

    Встречен в темах
    http://virusinfo.info/showthread.php?t=20009
    http://virusinfo.info/showthread.php?t=20604
    http://virusinfo.info/showthread.php?t=23080
    http://virusinfo.info/showthread.php?t=23288
    http://virusinfo.info/showthread.php?t=23623

    Файлы на диске
    C:\WINDOWS\system32\MicrSoft.exe
    MicrSoft.exe в корне других дисков.
    22714 байт

    Способ запуска
    1. Ключ реестра HKEY_LOCAL_MACHINE,
    Software\Microsoft\Windows\CurrentVersion\Run, MicrSoft
    2. Устанавливается как отладчик процессов различных антивирусов и др. программ.

    Внешние проявления (со слов пользователей)
    Антивирус не запускается.

  9. #128
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3406
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Алиасы
    Downloader.Delf.cxa (Ewido)
    GenPack:Generic.Malware.SP!BdldPk!g.1CEB408A (BitDefender)
    Mal/Emogen-Y (Sophos)
    MalwareScope.Trojan-PSW.Game.14 (VBA32)
    SHeur.AAKQ (AVG)
    TROJ_DELF.MYR (Trend Micro)
    Trojan-Downloader.Win32.Delf.cxa (GData)
    Trojan.Downloader-17478 (ClamAV)
    Trojan.DownLoader.36467 (DrWeb)
    TrojanDownloader.Delf.cxa (CAT-QuickHeal)
    W32/Delf.CXA!tr.dldr (Fortinet)
    W32/Heuristic-210!Eldorado (F-Prot)
    W32/Hupigon.BMSP (Norman)
    Win32:Agent-SIM (Avast)
    Win32/SillyAutorun.AD (eTrust-Vet)
    Worm:Win32/SillyShareCopy.F (Microsoft)
    Worm.Win32.AvKiller.ca (Rising)
    http://www.virustotal.com/ru/analisi...0ddceb87de3f63

    Встречен в темах
    http://virusinfo.info/showthread.php?t=20009
    http://virusinfo.info/showthread.php?t=20604
    http://virusinfo.info/showthread.php?t=23080
    http://virusinfo.info/showthread.php?t=23288
    http://virusinfo.info/showthread.php?t=23623

    Файлы на диске
    C:\WINDOWS\system32\MicrSoft.exe
    MicrSoft.exe в корне других дисков.
    22714 байт

    Способ запуска
    1. Ключ реестра HKEY_LOCAL_MACHINE,
    Software\Microsoft\Windows\CurrentVersion\Run, MicrSoft
    2. Устанавливается как отладчик процессов различных антивирусов и др. программ.

    Внешние проявления (со слов пользователей)
    Антивирус не запускается.
    Небольшое дополнение по зверю:
    Размер исполняемого файла 22 кб, исполняемый файл упакован.
    1. Выполняет через cmd.exe консольную команду date, меняя системную дату на 2005 год. Как известно, лицензии многих антивирусов привязаны к дате и перевод даты на несколько лет назад приводит к блокировке их работы
    2. Зловред активирует для своего процесса привилегию SeDebugPrivilege
    3. пытается остановить процессы ряда антивирусов - для этого он изучает список запущенных процессов и убивает процессы по именам
    4. Создает в корне дисков файлы X:\AutoRun.inf и X:\MicrSoft.exe (MicrSoft.exe - копия исполняемого файла зловреда, в autorun классические строчки типа Shell\Open\Command=MicrSoft.exe и Shell\Explore\Command=MicrSoft.exe)
    5. Зловред запускает InternetExplorer, модифицирует память его процесса и модифицирует контекст главного потока IE для запуска своего троянского кода. Аналогичную операцию он делает с svchost.exe. Зловред пытается обмениваться с Инет и загружать файлы (URL уже недоступен)
    6. Повреждает параметры загрузки в защищенном режиме, удаляя ряд ключей
    7. Регистрирует массу отладчиков процессов, в основном для антивирусов и прочего защитного ПО. Отладчиком он прописывает файл C:\WINDOWS\system32\MicrSoft.exe (это еще одна копия зловреда, он создает ее при запуске)
    Исходный файл зловреда после запуска самоуничтожается классическим методом - при помощи BAT файла. В распакованном EXE видна внушительная база данных исполняемых файлов, с которым борется данный зловред.
    Последний раз редактировалось Зайцев Олег; 31.05.2008 в 22:55.

  10. #129
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1309

    Trojan-Dropper.Win32.Agent.seg

    Алиасы
    BlockReason.0 (Webwasher-Gateway)
    Trojan.MulDrop.16286 (DrWeb)
    http://www.virustotal.com/ru/analisi...957312b5b79771

    Встречен в темах
    http://virusinfo.info/showthread.php?t=23646
    http://virusinfo.info/showthread.php?t=23738
    http://virusinfo.info/showthread.php?t=23742
    http://virusinfo.info/showthread.php?t=23885
    http://virusinfo.info/showthread.php?t=23938
    http://virusinfo.info/showthread.php?t=23960
    http://virusinfo.info/showthread.php?t=24016
    http://virusinfo.info/showthread.php?t=24820

    Файлы на диске
    Файл в папке C:\WINDOWS\Temp с именем NT*.exe, где вместо звёздочки несколько шестнадцатеричных цифр, например:
    C:\WINDOWS\Temp\NT11032.exe
    C:\WINDOWS\Temp\NT4E32.exe
    37376 байт

    Способ запуска
    Записывает в папки с бараузерами Internet Explorer, Opera и Firefox троянский файл setupapi.dll (Trojan.Win32.Agent.qtj)
    Последний раз редактировалось AndreyKa; 19.06.2008 в 00:42.

  11. #130
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1309

    Trojan.Win32.Agent.qry

    Алиасы
    Agent.WGN (AVG)
    Trojan:Win32/Chksyn.gen!A (Microsoft)
    Trojan.Agent-26275 (ClamAV)
    Trojan.Agent.qry (CAT-QuickHeal)
    Trojan.PWS.Lich (DrWeb)
    Win32/Agent.NWA (NOD32v2)
    http://www.virustotal.com/ru/analisi...a394d4e34fda31

    Описание
    При удалении данного трояна пользователь не сможет войти в систему.
    Поэтому, его следует заменить на здоровый файл из папки c:\windows\system32\dllcache

    Встречен в темах
    http://virusinfo.info/showthread.php?t=23646
    http://virusinfo.info/showthread.php?t=23696
    http://virusinfo.info/showthread.php?t=23719
    http://virusinfo.info/showthread.php?t=23738
    http://virusinfo.info/showthread.php?t=23960
    http://virusinfo.info/showthread.php?t=24115
    http://virusinfo.info/showthread.php?t=24122

    Файлы на диске
    c:\windows\system32\userinit.exe
    32212 байт

    Способ запуска
    Подменяет собой системный файл userinit.exe, который переименовывается в sdjeavd.tmp

  12. #131
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1309

    Trojan.Win32.Agent.qtj

    Алиасы
    Agent.WAD (AVG)
    TR/Agent.30208 (AntiVir)
    Trojan.Agent-26215 (ClamAV)
    Trojan.Agent.30208 (Webwasher-Gateway)
    Trojan.DownLoader.62734 (DrWeb)
    Trojan/Agent.qtj (TheHacker)
    http://www.virustotal.com/ru/analisi...fc6ad500d32fc7

    Встречен в темах
    http://virusinfo.info/showthread.php?t=23626
    http://virusinfo.info/showthread.php?t=23738
    http://virusinfo.info/showthread.php?t=23960
    http://virusinfo.info/showthread.php?t=24115

    Файлы на диске
    SETUPAPI.dll в папке браузера, например:
    C:\Program Files\Internet Explorer\SETUPAPI.dll
    30208 байт

    Способ запуска
    1. Загружается при старте браузера вместо системной библиотеки SETUPAPI.dll.
    2. Прописывает себя как отладчик процесса rundll32.exe:
    Debugger = "%ProgramFiles%\Internet Explorer\rundll32 setupapi.dll,s"

  13. #132
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1309

    Trojan.Win32.DNSChanger.dqm

    Алиасы
    BackDoor.Generic9.ARTE (AVG)
    Trojan.Agent.AIVZ (BitDefender)
    Trojan.DNSChanger.dqm (CAT-QuickHeal)
    Trojan.NtRootKit.1182 (DrWeb)
    VirTool:WinNT/Pasich.A (Microsoft)
    W32/DNSChanger.BBQY (Norman)
    W32/DNSChanger.DQM!tr (Fortinet)
    Win32: DNSChanger-VJ (Avast)
    http://www.virustotal.com/ru/analisi...0698417daa3f80

    Встречен в темах
    http://virusinfo.info/showthread.php?t=23646
    http://virusinfo.info/showthread.php?t=23885
    http://virusinfo.info/showthread.php?t=23940
    http://virusinfo.info/showthread.php?t=24455
    http://virusinfo.info/showthread.php?t=24499

    Файл на диске
    C:\WINDOWS\system32\Drivers\clbdriver.sys
    6656 байт
    Также на диске существует файл:
    C:\WINDOWS\system32\clbdll.dll
    который может детектироваться под разными именами, например:
    Rootkit.Win32.Clbd.p
    Rootkit.Win32.Clbd.bb
    Trojan-Downloader.Win32.Agent.qpq

    Способ запуска
    Упоминания о данном рутките может отсутствовать в логах AVZ, выполненных согласно Правилам нашего форума.
    Обнаружить присутствие данного руткита AVZ может, если установлен драйвер расширенного мониторинга процессов AVZPM.

    Внешние проявления (со слов пользователей)
    Не запускаются браузеры Opera и Firefox, работает только Internet Explorer.
    Обновление антивируса не работает. Сайт антивируса не доступен.
    Последний раз редактировалось AndreyKa; 09.07.2008 в 08:28.

  14. #133
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1309

    Trojan-Downloader.Win32.Agent.nsx

    Алиасы
    PSW.Agent.TMB (AVG)
    TR/Dldr.Agent.NDX.2 (AntiVir)
    Trj/Downloader.TZF (Panda)
    Troj/Bckdr-QNZ (Sophos)
    Trojan.Dldr.Agent.NDX.2 (Webwasher-Gateway)
    Trojan.DownLoader.63153 (DrWeb)
    Trojan/Downloader.Agent.nsx (TheHacker)
    TrojanDownloader.Agent.nsx (CAT-QuickHeal)
    TSPY_AGENT.AGDG (TrendMicro)
    W32/Generic.A!tr.dldr (Fortinet)
    Win32:Trojan-gen {Other} (Avast)
    Win32.Worm.Socks.AT (BitDefender)
    Win32/Zalup.AA (NOD32v2)
    http://www.virustotal.com/ru/analisi...d239271e21359b

    Встречен в темах
    http://virusinfo.info/showthread.php?t=24176
    http://virusinfo.info/showthread.php?t=24394
    http://virusinfo.info/showthread.php?t=24402
    http://virusinfo.info/showthread.php?t=24612
    http://virusinfo.info/showthread.php?t=24669
    http://virusinfo.info/showthread.php?t=24677
    http://virusinfo.info/showthread.php?t=24679
    http://virusinfo.info/showthread.php?t=24737
    http://virusinfo.info/showthread.php?t=24806

    Файлы на диске
    Встречается под разными именами, например:
    C:\WINDOWS\system32\explorer.dll
    C:\WINDOWS\system32\ftp34.dll
    C:\Documents and Settings\Администратор\ftp34.dll
    C:\Documents and Settings\User\explorer.dll
    4608 байт
    Создаётся вредоносными программами:
    P2P-Worm.Win32.Socks.ea
    P2P-Worm.Win32.Socks.ec
    Они могут иметь следующие имена:
    C:\Documents and Settings\_Пользователь_\Главное меню\Программы\Автозагрузка\userinit.exe
    C:\Documents and Settings\_Пользователь_\svchost.exe
    C:\WINDOWS\system32\drivers\services.exe
    Последний раз редактировалось AndreyKa; 22.06.2008 в 16:00.

  15. #134
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1309

    Trojan-Downloader.Win32.Agent.nzo

    Алиасы
    TR/Drop.Agent.KCN (AntiVir)
    Trojan.DL.Win32.Mnless.ajh (Rising)
    Trojan.DownLoader.62860 (DrWeb)
    Trojan.Drop.Agent.KCN (Webwasher-Gateway)
    Trojan/Downloader.Agent.nzo (TheHacker)
    TrojanDownloader.Agent.nzo (CAT-QuickHeal)
    W32/Srizbi.BH (Norman)
    Win-Trojan/Agent.12800.EH (AhnLab-V3)
    http://www.virustotal.com/ru/analisi...25b438181b85b8

    Описание
    При удалении данного трояна пользователь не сможет войти в систему.
    Поэтому, его следует заменить на здоровый файл из папки c:\windows\system32\dllcache
    Загружает и запускает вредоносные программы с сайта maseratto.info

    Встречен в темах
    http://virusinfo.info/showthread.php?t=24679
    http://virusinfo.info/showthread.php?t=24680
    http://virusinfo.info/showthread.php?t=24737
    http://virusinfo.info/showthread.php?t=24754
    http://virusinfo.info/showthread.php?t=24768

    Файлы на диске
    C:\WINDOWS\system32\userinit.exe
    12800 байт

    Способ запуска
    Подменяет собой системный файл userinit.exe, который переименовывается в userini.exe

    Внешние проявления
    Сам себя не проявляет, но вредоносные программы, которые он скачивает из Интернета и запускает, могут проявлять себя. Например, так:
    На рабочем столе появляется надпись:

    Warning!
    Spyware detected on your computer!
    Install an antivirus or spyware remover to
    clean you computer.
    При этом отключается служба восстановления системы (чтобы удалить все сохранённые состояния) и затем включается и создаётся точка восстановления с именем "Last good restore point".
    Последний раз редактировалось AndreyKa; 03.07.2008 в 01:01.

  16. #135
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1309

    Trojan-Downloader.Win32.FraudLoad.vag, Trojan.Win32.BHO.eya и Trojan-Downloader.Win32.BHO.qb

    Алиасы
    Downloader.Generic7.YAV (AVG)
    TR/Dldr.FraudLoad.vagw (AntiVir)
    TROJ_RENOS.WR (TrendMicro)
    Trojan.Dldr.FraudLoad.vagw (Webwasher-Gateway)
    TrojanDownloader:Win32/Renos.DG (Microsoft)
    TrojanDownloader.FraudLoad.va (CAT-QuickHeal)
    Win32/Adware.IeDefender.NGB (NOD32v2)
    http://www.virustotal.com/ru/analisi...bf3a9c857565e1

    Описание
    При использовании Internet Explorer имитирует сообщения о вирусной атаке и предлагает получить защиту (на самом деле установить троян).
    Insecure Internet activity. Threat of virus attack
    __________________________________________________ _______
    Due to insecure Internet browsing your PC can easily get infected with viruses, worms and trojans without your
    ...
    Кроме того, при посещении страниц в IE и при открытии папок в Проводнике появляется всплывающее окно сообщения с заголовком Critical Error!
    Текст сообщения:
    Attention, [имя пользователя]! Some dangerous viruses detected in you system. Microsoft Windows XP files corrupted.
    This may lead to the destruction of important files in C:\WINDOWS. Download protection software now!
    Click OK to download the antispyware. (Recommended)
    Если пользователь соглашается, то открывается страница на сайте free-viruscan.com с ложными данными о наличии ошибок и предлагающих скачать антивирус чтобы их исправить.
    Фальшивый антивирус загружается с домена getieantivirus.com и на данный момент детектируется как:
    ADSPY/AdSpy.Gen (AntiVir)
    Trojan:Win32/Delflob.I (Microsoft)
    IE Defender-Installer (Sophos)
    http://www.virustotal.com/ru/analisi...61ca3cfd40a77e

    Встречен в темах
    https://virusinfo.info/showthread.php?t=26099
    https://virusinfo.info/showthread.php?t=26111
    https://virusinfo.info/showthread.php?t=26188

    Файлы на диске
    Имена у файла могут быть различные. Например:
    C:\WINDOWS\system32\epsonbho.dll
    C:\WINDOWS\system32\epsdrv.dll
    C:\WINDOWS\system32\epsbho.dll
    22528 байт

    Способ запуска
    BHO
    CLSID {87FD33C2-7891-45D5-ACD1-7935F9AEA26B}

    Дополнительные алиасы Trojan.Win32.BHO.eya
    TR/BHO.eya (AntiVir)
    TROJ_FAKEAVALE.L (TrendMicro)
    Trojan.BHO.eya (CAT-QuickHeal)
    Trojan.Click.19457 (DrWeb)
    Trojan.Renos.NDD (BitDefender)
    W32/BHO.DPO (Norman)
    Win32/Adware.IeDefender.NGG (NOD32v2)
    http://www.virustotal.com/ru/analisi...40dc54c6d42980

    Встречен в темах
    https://virusinfo.info/showthread.php?t=26423
    https://virusinfo.info/showthread.php?t=26425
    https://virusinfo.info/showthread.php?t=26428
    https://virusinfo.info/showthread.php?t=26487

    Файлы на диске
    Возможны различные названия, например:
    C:\WINDOWS\system32\iefltr.dll
    C:\WINDOWS\system32\iexp_f.dll
    20992 байт

    Способ запуска
    BHO
    CLSID {8B2AE9C0-1555-4C92-905A-531532F15698}

    Дополнительные алиасы Trojan-Downloader.Win32.BHO.qb
    BHO.FEW (AVG)
    TR/Dldr.BHO.QB (AntiVir)
    TROJ_DLOADER.KRK (TrendMicro)
    Troj/Istbar-DY (Sophos)
    Trojan.BHO-3834 (ClamAV)
    Trojan.Dldr.BHO.QB (Webwasher-Gateway)
    Trojan.Fakealert.1187 (DrWeb)
    Trojan.Fakeavalert (Symantec)
    Trojan.Win32.Downloader.20480.HL (ViRobot)
    Trojan.Zlob.CQJ (BitDefender)
    TrojanDownloader.BHO.qb (CAT-QuickHeal)
    W32/Zlob.CDZP (Norman)
    Win32/Adware.IeDefender.NGT (NOD32v2)
    http://www.virustotal.com/ru/analisi...aef8f56f9b8ec2

    Описание
    Теперь в окне Internet Explorer отображается такое сообщение с сайта free-viruscan.com:
    Warning - you are infected by this site! Please, read our suggestions!

    You can learn more about harmful web content and protect your computer at Internet Explorer Antivirus.
    Just download IE Antivirus Now and Protect your Business forever!
    Встречен в темах
    https://virusinfo.info/showthread.php?t=27901
    https://virusinfo.info/showthread.php?t=27977
    https://virusinfo.info/showthread.php?t=27980
    https://virusinfo.info/showthread.php?t=28119

    Файлы на диске
    Имя файла может быть различным:
    C:\WINDOWS\system32\gtbl.dll
    C:\WINDOWS\system32\g2tbl.dll
    20480 байт

    Способ запуска
    BHO GTool
    CLSID: {53322B35-2C26-4FAC-A713-C31BBAA1C636}
    Последний раз редактировалось AndreyKa; 18.08.2008 в 22:47.

  17. #136
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1309

    AdWare.Win32.XmlMimeFilter.k

    Алиасы
    Adware.XMLMime.1 (DrWeb)
    Adware.XmlMimeFilter.85504 (ViRobot)
    Generic3.IIY (AVG)
    TR/BHO.Agent.85504 (AntiVir)
    Trojan.Adclicker (Symantec)
    Trojan.BHO.Agent.85504 (Webwasher-Gateway)
    Win32/Adware.Agent.NJB (NOD32v2)
    http://www.virustotal.com/ru/analisi...bc2d8cf561787d

    Описание
    В файле зашиты два списка имен доменов. Первый:
    Код:
    yandex.ru
    rambler.ru
    google.com
    mail.ru
    google.ru
    vkontakte.ru
    odnoklassniki.ru
    И второй, скорее всего, как источник фальшивых данных для искажения работы сайтов из первого списка:
    Код:
    01searchfeed.ru
    allfindz.ru
    allianzoo.ru
    beefunny.ru
    cangomors.ru
    partymotex.ru
    sites-obzor.ru
    site-ortek.ru
    v-cataloge.ru
    www.4-seacher.ru
    Встречен в темах
    https://virusinfo.info/showthread.php?t=26789
    https://virusinfo.info/showthread.php?t=27123
    https://virusinfo.info/showthread.php?t=27180
    https://virusinfo.info/showthread.php?t=27490
    https://virusinfo.info/showthread.php?t=27717

    Файлы на диске
    C:\windows\twain_8.dll
    85504 байт

    Способ запуска
    Protocol
    Описание: DLL Module (XMLMimeFilter MIME Filter Sample)
    CLSID: {53B95211-7D77-11D2-9F80-00104B107C96}
    Файл: C:\windows\twain_8.dll
    Последний раз редактировалось AndreyKa; 08.08.2008 в 00:19.

  18. #137
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1309

    Trojan.Win32.Agent.zdw

    Алиасы
    TR/Agent.zdw (AntiVir)
    Trojan.Agent.zdw (CAT-QuickHeal)
    Trojan.Packed.573 (DrWeb)
    Trojan.Win32.Agent.43008.O (ViRobot)
    W32/Agent.ZDW!tr (Fortinet)
    Win-Trojan/Proxy.43008.B (AhnLab-V3)
    http://www.virustotal.com/ru/analisi...df3444e75c6ba8

    Описание
    Может запускаеть несколько своих процессов.
    Останавливает службы "Центр обеспечения безопасности" и "Брандмауэр Windows".
    Добавляет себя в список исключений Брандмауэра Windows.
    Способен отправлять сообщения по электронной почте.
    В файле пристствуют IP адреса 192.168.1.164, 206.137.17.89, 66.232.109.178 и 209.20.130.33.

    Встречен в темах
    https://virusinfo.info/showthread.php?t=28227
    https://virusinfo.info/showthread.php?t=28288
    https://virusinfo.info/showthread.php?t=28324
    https://virusinfo.info/showthread.php?t=28440
    https://virusinfo.info/showthread.php?t=28506

    Файлы на диске
    C:\WINDOWS\services.exe
    43008

    Способ запуска
    Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, services
    C:\WINDOWS\services.exe
    Последний раз редактировалось AndreyKa; 22.08.2008 в 02:07.

  19. #138
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1309

    Trojan-Banker.Win32.Banker.uvo, Backdoor.Win32.Frauder.bu и Backdoor.Win32.Frauder.fk

    Алиасы
    Antivirus2008.DO (Norman)
    Backdoor.Win32.Frauder.r (GData)
    Hoax.Win32.AntivirusXP (VBA32)
    MemScan:Trojan.FakeAlert.AAH (BitDefender)
    SHeur.CDJI (AVG)
    TR/Fakealert.aah.9 (AntiVir)
    Trj/Banker.FWD (Panda)
    Trojan.Blusod (Symantec)
    Trojan.Fakealert.aah.9 (Webwasher-Gateway)
    Trojan.Packed.600 (DrWeb)
    TrojanBanker.Banker.uvo (CAT-QuickHeal)
    TrojanDownloader:Win32/Renos.gen!AU (Microsoft)
    W32/Banker.UVO!tr (Fortinet)
    Win-Trojan/FakeAV.194560 (AhnLab-V3)
    http://www.virustotal.com/ru/analisi...1ee1b5aa9f7c4e

    Описание
    Копирует себя в системую папку Windows.
    Прописывается в реестре для автозагрузки.
    Устанавливает в качестве фона рабочего стола картинку с надписью:

    Warning!
    Spyware detected on you computer!


    Install an antivirus or spyware to clean your computer

    Warning! Win32/Adware.Virtumode
    Detected on you computer

    Warning! Win32/PrivacyRemover.M64
    Detected on you computer
    Устанавливает в качестве хранителя экрана имитацию BSOD (синий экран).
    Удает все сохранённые точки восстановления и затем создаёт точку восстановления с именем "Last good restore point" (она содержит в себе данный троян).
    В файле присутствуют следующие имена доменов:
    odnoklassniki.ru
    vkontakte.ru
    google.ru
    statsbank.com
    boards.cexx.org
    adultwebmasterinfo.com
    dialerschutz.de
    webmasterworld.com
    crutop.nu
    gofuckyourself.com
    santa-inbox.com
    Встречен в темах
    https://virusinfo.info/showthread.php?t=28328
    https://virusinfo.info/showthread.php?t=28355
    https://virusinfo.info/showthread.php?t=28440

    Файлы на диске
    c:\windows\system32\lphc_набор_букв_и_цифр_.exe
    194560 байт

    Способ запуска
    Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, lphc1j5j0e3gd
    C:\WINDOWS\system32\lphc1j5j0e3gd.exe
    (Прим.: имена файла и ключа будут другие)

    Внешние проявления (со слов пользователей)
    На рабочем столе появилось изображение с надписью "Warning! Spyware detected on your computer!..." на белом фоне, в свойствах рабочего стола исчезли вкладки "Рабочий стол" и "Заставка".

    Алиасы Backdoor.Win32.Frauder.bu
    BDS/Frauder.bu (AntiVir)
    Downloader-ASH.gen.b (McAfee)
    Downloader.FraudLoad.N (AVG)
    TROJ_FAKEALER.OE (TrendMicro)
    Trojan.Backdoor.Frauder.bu (Webwasher-Gateway)
    Trojan.FakeAlert.ACR (BitDefender)
    Trojan.Packed.619 (DrWeb)
    Trojan.Win32.Packed.203776 (ViRobot)
    W32/Tibs.gen225 (Norman)
    Win32:Tibs-EJA (Avast)
    http://www.virustotal.com/ru/analisi...c9503f1dd40a30

    Встречен в темах
    https://virusinfo.info/showthread.php?t=28948
    https://virusinfo.info/showthread.php?t=28984
    https://virusinfo.info/showthread.php?t=29008
    https://virusinfo.info/showthread.php?t=29010
    https://virusinfo.info/showthread.php?t=29036
    https://virusinfo.info/showthread.php?t=29059
    https://virusinfo.info/showthread.php?t=29068
    https://virusinfo.info/showthread.php?t=29142
    https://virusinfo.info/showthread.php?t=29182
    https://virusinfo.info/showthread.php?t=29250

    Файл на диске
    203776 байт

    Алиасы Backdoor.Win32.Frauder.fk
    BDS/Frauder.FJ (AntiVir)
    Downloader.Generic7.AOUH (AVG)
    TROJ_FAKEAV.HP (TrendMicro)
    Trojan.FakeAlert.AEZ (BitDefender)
    Trojan.Packed.636 (DrWeb)
    TrojanDownloader:Win32/Renos.AS (Microsoft)
    W32/ASH.FJ!tr.bdr (Fortinet)
    W32/DLoader.JNTL (Norman)
    Win-Trojan/Fakeav.199168.G (AhnLab-V3)
    Win32.Backdoor.Frauder.fk.4 (CAT-QuickHeal)
    Win32/Bugnraw.KS (eTrust-Vet)
    Win32/TrojanDownloader.FakeAlert.JP (NOD32v2)
    http://www.virustotal.com/ru/analisi...4a194ff4e61825

    Отличия Backdoor.Win32.Frauder.fk
    В файле присутствуют следующие имена доменов:
    av-xp2008.com
    presents.avxp2008.com
    youpornztube.net

    Встречен в темах
    https://virusinfo.info/showthread.php?t=30163
    https://virusinfo.info/showthread.php?t=30178
    https://virusinfo.info/showthread.php?t=30198
    https://virusinfo.info/showthread.php?t=30225
    https://virusinfo.info/showthread.php?t=30268
    https://virusinfo.info/showthread.php?t=30279
    https://virusinfo.info/showthread.php?t=30298
    https://virusinfo.info/showthread.php?t=30303
    https://virusinfo.info/showthread.php?t=30318
    https://virusinfo.info/showthread.php?t=30347
    https://virusinfo.info/showthread.php?t=31122
    https://virusinfo.info/showthread.php?t=31492

    Файл на диске
    199168 байт
    Последний раз редактировалось AndreyKa; 06.10.2008 в 12:24.

  20. #139
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1309

    Trojan.Win32.BHO.gcs

    Алиасы
    TR/PSW.Agent.knw (AntiVir)
    Trojan.BHO.gcs (CAT-QuickHeal)
    Trojan.Click.20003 (DrWeb)
    Trojan.PSW.Agent.knw (Webwasher-Gateway)
    Trojan.Win32.BHO.249856 (ViRobot)
    Trojan/BHO.gcs (TheHacker)
    Win-Trojan/Bho.249856 (AhnLab-V3)
    http://www.virustotal.com/ru/analisi...5c3ecafcb04ebe

    Встречен в темах
    https://virusinfo.info/showthread.php?t=28396
    https://virusinfo.info/showthread.php?t=28442
    https://virusinfo.info/showthread.php?t=28499
    https://virusinfo.info/showthread.php?t=28651
    https://virusinfo.info/showthread.php?t=28755
    https://virusinfo.info/showthread.php?t=28850
    https://virusinfo.info/showthread.php?t=28980
    https://virusinfo.info/showthread.php?t=29129
    https://virusinfo.info/showthread.php?t=29218
    https://virusinfo.info/showthread.php?t=29453

    Файлы на диске
    C:\WINDOWS\system32\vmmreg32.dll
    C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
    249856 байт
    Также возможно присутствие вредоносных файлов:
    C:\WINDOWS\SYSTEM32\VIDEO.sys
    C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
    C:\WINDOWS\SYSTEM32\winhelp32.exe
    C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
    C:\WINDOWS\SYSTEM32\webmin\winhelp32.bkp

    Способ запуска
    1. Ключ реестра HKEY_LOCAL_MACHINE,
    SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
    Значение: C:\WINDOWS\SYSTEM32\vmmreg32.dll
    2. BHO {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}
    C:\WINDOWS\system32\vmmreg32.dll
    3. AppInit_DLLs: vmmreg32.dll
    Последний раз редактировалось AndreyKa; 28.09.2008 в 22:35.

  21. #140
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1309

    Trojan-Spy.Win32.Zbot.eev

    Алиасы
    PSW.Generic6.YOJ (AVG)
    TR/Spy.ZBot.eev.4 (AntiVir)
    Trojan.Proxy.3780 (DrWeb)
    Trojan.Spy.ZBot.eev.4 (Webwasher-Gateway)
    Trojan.Spy.ZBot.JR (BitDefender)
    W32/Zbot.AXZ (Norman)
    http://www.virustotal.com/ru/analisi...be8e4aff2a976c

    Описание
    При запуске троян прописывет свою автоматическую загрузку в реестре, подключается к серверу с адресом 195.2.252.33 и скачивает зашифрованный файл.
    Данный сервер находится в сети провайдера Madet Ltd. г. Москва.
    В данный момент на нём также выложены другие вредоносные файлы:
    1.exe = Trojan.Srizbi.Dropper.1.Gen
    2.exe = Rootkit.Win32.Agent.cun (Trojan.Proxy.3541)

    Встречен в темах
    https://virusinfo.info/showthread.php?t=28621
    https://virusinfo.info/showthread.php?t=28898
    https://virusinfo.info/showthread.php?t=28948
    https://virusinfo.info/showthread.php?t=29172
    https://virusinfo.info/showthread.php?t=29221
    https://virusinfo.info/showthread.php?t=29324
    https://virusinfo.info/showthread.php?t=29542

    Файлы на диске
    С:\WINDOWS\system32\oembios.exe
    размер файла в пределах ~100-600 КБ.

    Способ запуска
    Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    UserInit=C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\oembios.exe,

    Внешние проявления (со слов пользователей)
    Компьютер перезагружается после входа пользователя в нормальном режиме загрузки Windows.
    Последний раз редактировалось AndreyKa; 08.09.2008 в 17:58.

Страница 7 из 9 Первая ... 3456789 Последняя

Похожие темы

  1. Ответов: 9
    Последнее сообщение: 04.06.2015, 08:38
  2. DrWeb: Лжеантивирусы и другие актуальные угрозы февраля 2010 года
    От Kuzz в разделе Новости компьютерной безопасности
    Ответов: 2
    Последнее сообщение: 02.03.2010, 09:19
  3. ЗЛОВРЕДЫ
    От vd7 в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 01.02.2010, 18:16
  4. Зловреды
    От San614 в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 06.10.2009, 13:01

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01245 seconds with 18 queries