-
Backdoor.Win32.Small.eug и Backdoor.Win32.Small.gjm
Последний раз редактировалось AndreyKa; 02.11.2008 в 01:31.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
FraudTool.Win32.XPSecurityCenter.ai и Hoax.Win32.Bravia.ir
Алиасы
Adware.XPSecurityCenter.R.10240 (ViRobot)
Aplicacion/XPSecurityCenter.ai (TheHacker)
Dropper.Bravix.A (AVG)
Misc/XPSecurityCenter (Fortinet)
Packer.Malware.Lighty.F (BitDefender)
TR/Dldr.FakeAler.FM (AntiVir)
TROJ_MALBEHV.MCS (TrendMicro)
Trojan.Dldr.FakeAler.FM (SecureWeb-Gateway)
Trojan.Packed.612 (DrWeb)
Trojan.Virantix.C (Symantec)
Trojan.Zlob.Gen!Pac.54 (VirusBuster)
TrojanDownloader:Win32/Renos (Microsoft)
W32/Lighty.B (Norman)
Win32:Bravix (Avast)
Win32/FakeAVDl.Z (eTrust-Vet)
Win32/TrojanDownloader.FakeAlert.GU (NOD32)
http://www.virustotal.com/ru/analisi...e48193ca7adcdf
Описание
Показывает в трее красный круг с белым иксом.
Показывает всплывающее сообщение:
You computer is infected!
Windows has detected spyware infection!
It is recommended to use special antispyware tools to prevent
data loss.Windows will now download and install the most
up-to-date antispyware for you.
Click here to protect you computer from spyware!
Устанавливает http://www.google.com как стартовую страницу Internet Explorer.
Включает использование элементов ActiveX не помеченных как безопасные.
Отключает сообщения Центра Безопасности Windows о выключенном Брандмауэре, антивирусе и Автоматическом обновлении Windows.
Содержит имена доменов:
antispyware-quick-scan.com
antivirus-quick-scan.com
spyware-quickscan-2008.com
spyware-quickscan-2009.com
virus-quickscan-2008.com
virus-quickscan-2009.com
Встречен в темах
https://virusinfo.info/showthread.php?t=29858
https://virusinfo.info/showthread.php?t=29905
https://virusinfo.info/showthread.php?t=29911
https://virusinfo.info/showthread.php?t=29929
https://virusinfo.info/showthread.php?t=29955
https://virusinfo.info/showthread.php?t=29986
https://virusinfo.info/showthread.php?t=30283
Файлы на диске
C:\WINDOWS\system32\buritos.exe
C:\WINDOWS\system32\braviax.exe
c:\windows\buritos.exe
10240 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, braviax
C:\WINDOWS\system32\braviax.exe
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, braviax
C:\WINDOWS\system32\braviax.exe
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, buritos
C:\WINDOWS\system32\buritos.exe
Дополнительные алиасы Hoax.Win32.Bravia.ir
Adware/RogueAntimalware2008 (Panda)
Backdoor.Tidserv (Symantec)
Hoax.Antivirus2008.Do.9216 (ViRobot)
Hoax.Bravia.ir (CAT-QuickHeal)
Hoax.Win32.Renos.vazk (VBA32)
TROJ_FAKEALER.NP (TrendMicro)
http://www.virustotal.com/ru/analisi...fa7aeaeb95388a
Встречен в темах
https://virusinfo.info/showthread.php?t=29633
https://virusinfo.info/showthread.php?t=29657
https://virusinfo.info/showthread.php?t=29716
https://virusinfo.info/showthread.php?t=29743
https://virusinfo.info/showthread.php?t=29875
https://virusinfo.info/showthread.php?t=29889
https://virusinfo.info/showthread.php?t=29972
https://virusinfo.info/showthread.php?t=31217
https://virusinfo.info/showthread.php?t=31219
Файл на диске
9216 байт
Последний раз редактировалось AndreyKa; 05.10.2008 в 00:46.
-
-
Trojan-Spy.Win32.Zbot.fah
Алиасы
PSW.Generic6.AFNB (AVG)
PWS:Win32/Zbot.MW (Microsoft)
Trojan.PWS.Panda.18 (DrWeb)
TrojanSpy.Zbot.fah (CAT-QuickHeal)
TSPY_ZBOT.MCS (TrendMicro)
W32/Zbot.BGI (Norman)
Win32: Zbot-APE (Avast)
http://www.virustotal.com/ru/analisi...84f77a4db53e19
Описание
Копирует себя в системную папку.
Прописывает себя в реестр для автозагрузки.
Пытается похитить ключи и пароли к сайту интернет-банкинга faktura.ru
Подключается к серверу с адресом 195.2.252.33 и скачивает зашифрованный файл.
Сервер 195.2.252.33 в данный момент распространяет новую версию данного трояна:
http://www.virustotal.com/ru/analisi...26d7e03517b46d
Встречен в темах
https://virusinfo.info/showthread.php?t=30779
https://virusinfo.info/showthread.php?t=30972
https://virusinfo.info/showthread.php?t=31026
https://virusinfo.info/showthread.php?t=31095
https://virusinfo.info/showthread.php?t=31391
Файлы на диске
C:\WINDOWS\system32\twext.exe
C:\WINDOWS\system32\twext.ex_
К телу размером 55296 байт дописано до нескольких сотен килобайт "мусора".
Способ запуска
Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
C:\WINDOWS\system32\twext.exe
C:\WINDOWS\system32\twext.ex_
-
-
Trojan.Win32.Agent.aeuz
Алиасы
Agent.ADDO (AVG)
BackDoor.Bulknet.237 (DrWeb)
Mal/Pushdo-A (Sophos)
TR/Agent.aeuz.4 (AntiVir)
Trj/Downloader.MDW (Panda)
Trojan:Win32/Meredrop (Microsoft)
Trojan.Agent.aeuz.4 (SecureWeb-Gateway)
Trojan.DR.Pandex.Gen.6 (VirusBuster)
Trojan.Generic.747469 (BitDefender)
Trojan.Win32.Agent.22528.Y (ViRobot)
W32/Agent.AEUZ!tr (Fortinet)
Win-Trojan/Agent.22528.IX (AhnLab-V3)
http://www.virustotal.com/ru/analisi...5581c4c26a00c9
Описание
Обращается к web серверам американского провайдера McColo (адреса: 208.66.192.0 - 208.66.195.255), на которых находятся многочисленные вредоносные программы.
Встречен в темах
https://virusinfo.info/showthread.php?t=30956
https://virusinfo.info/showthread.php?t=31047
https://virusinfo.info/showthread.php?t=31285
https://virusinfo.info/showthread.php?t=31551
Файлы на диске
C:\WINDOWS\System32\rs32net.exe
22528 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, rs32net
C:\WINDOWS\System32\rs32net.exe
Последний раз редактировалось AndreyKa; 08.10.2008 в 14:07.
-
-
Trojan.Win32.Agent.afkj
Алиасы
BackDoor.Bulknet.264 (DrWeb)
Trj/Downloader.MDW (Panda)
Trojan.Agent.afkj (CAT-QuickHeal)
Trojan.Crypt.LooksLike.XPACK (SecureWeb-Gateway)
TrojanDownloader:Win32/Cutwail.AA (Microsoft)
http://www.virustotal.com/ru/analisi...b17e03bcc376ca
Описание
Останавливает службы Брандмауэр и Центр безопасности Windows.
Отключает Брандмауэр Windows через политики и отключает мониторинг состояния Брандмауэра Windows в Центре безопасности Windows.
Открывает порт 1060 TCP.
В теле трояна присутствуют IP адреса 209.20.130.33 и 66.232.118.207.
Способен отправлять электронную почту (SPAM).
Встречен в темах
https://virusinfo.info/showthread.php?t=31408
https://virusinfo.info/showthread.php?t=31577
https://virusinfo.info/showthread.php?t=31638
Файлы на диске
c:\windows\services.exe
40448 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run, services
C:\WINDOWS\services.exe
-
-
Trojan.Win32.Agent.afic
Алиасы
Agent.ADTD (AVG)
TR/Agent.afic.1 (AntiVir)
Trj/Downloader.MDW (Panda)
Trojan.Agent.afic.1 (SecureWeb-Gateway)
Trojan.DownLoad.5244 (DrWeb)
W32/Agent.AFIC!tr (Fortinet)
W32/Agent.IRCJ (Norman)
Win32/Spy.Agent.NJL (NOD32)
http://www.virustotal.com/ru/analisi...19424f19bcbb1a
Описание
"Шпионит" за программами explorer.exe, webmoney.exe, iexplore.exe, opera.exe и firefox.exe.
Встречен в темах
https://virusinfo.info/showthread.php?t=31157
https://virusinfo.info/showthread.php?t=31477
https://virusinfo.info/showthread.php?t=31624
Файлы на диске
C:\WINDOWS\system32\msvcrt57.dll
Способ запуска
Подменяет в реестре Windows стандартный модуль webcheck.dll:
1.Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\ShellSer viceObjectDelayLoad, WebCheck
2.Модуль расширения проводника
Имя: WebCheck
CLSD: {E6FB5E20-DE35-11CF-9C87-00AA005127ED}
Файл: C:\WINDOWS\system32\msvcrt57.dll
-
-
Trojan.Win32.Pakes.kmn
Алиасы
RootKit.Win32.Undef.rx (Rising)
Spammer:WinNT/Srizbi.gen!B (Microsoft)
Trj/Pakes.EB (Panda)
Trojan.Generic.753846 (BitDefender)
Trojan.Pakes!sd6 (PCTools)
Trojan.Pakes.kmn (CAT-QuickHeal)
Trojan.Sentinel.based (DrWeb)
W32/Smalltroj.HJSV (Norman)
Win32:Agent-ABJY (Avast)
Win32/Srizbi.NBP (NOD32)
http://www.virustotal.com/ru/analisi...16b5e1ac5c0892
Описание
Попадает на компьютер, как правило, через СПАМ со ссылокой на выполняемый файл (e-card.exe).
Руткит. Функционирует как модуль пространства ядра.
Встречен в темах
https://virusinfo.info/showthread.php?t=30643
https://virusinfo.info/showthread.php?t=30972
https://virusinfo.info/showthread.php?t=31439
https://virusinfo.info/showthread.php?t=31747
Файлы на диске
Файл с расширением sys в папке C:\WINDOWS\system32\Drivers со случайным именем из 8 латинских символов.
178176 байт
Способ запуска
Драйвер с именем как у файла (случайное).
Внешние проявления (со слов пользователей)
Работа компьютера заторможенна.
-
-
Trojan-Downloader.Win32.Delf.phh
Алиасы
Downloader.Generic7.BCEZ (AVG)
TR/Crypt.GU.22 (AntiVir)
Trojan.Crypt.GU (BitDefender)
Trojan.Crypt.GU.22 (SecureWeb-Gateway)
Trojan.PWS.Siggen.22 (DrWeb)
Trojan.Win32.Downloader.16896.ACL (ViRobot)
TrojanDownloader:Win32/Bofang.B (Microsoft)
TrojanDownloader.Delf.phh (CAT-QuickHeal)
W32/Delf.CRNA (Norman)
W32/Delf.PHH!tr.dldr (Fortinet)
http://www.virustotal.com/ru/analisi...3efea36329fe9c
Описание
Записывает свою копию в файл %USERPROFILE%\Application Data\Adobe\Player.exe
В файле присутствуют URL c IP адресами 78.157.143.163 и 91.203.93.6.
По этим адресам расположены списки URL exe-файлов.
Дополнительно встречаются IP адреса 78.157.143.198 и 78.157.142.26.
Троян использует службу Windows BITS для загрузки файлов.
В данный момент упомянутые файлы детектируются антивирусом Касперского так:
Backdoor.Win32.Frauder.mb
Backdoor.Win32.Frauder.mo
Backdoor.Win32.Frauder.mr
Backdoor.Win32.Frauder.mu
Backdoor.Win32.Frauder.mv
Backdoor.Win32.Frauder.nc
Backdoor.Win32.Frauder.nd
Backdoor.Win32.TDSS.aao
Backdoor.Win32.TDSS.anp
Trojan-Downloader.Win32.Agent.ajnq
Встречен в темах
https://virusinfo.info/showthread.php?t=32407
https://virusinfo.info/showthread.php?t=32424
https://virusinfo.info/showthread.php?t=32453
Файлы на диске
C:\WINDOWS\system32\rgdam.exe
16896 байт
Способ запуска
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run
Player = "%AppData%\Adobe\Player.exe"
Последний раз редактировалось AndreyKa; 24.10.2008 в 05:18.
-
-
FraudTool.Win32.XPSecurityCenter.be
Алиасы
Adware.XPSecurityCenter.R.72660.G (ViRobot)
Downloader.MisleadApp (Symantec)
FraudTool.XPSecurityCenter.be (Not a Virus) (CAT-QuickHeal)
Generic3.YJG (AVG)
PHISH/Fraud.XPSecurityCenter.BE (AntiVir)
Trojan.Fakealert.1629 (DrWeb)
TrojanDownloader:Win32/FakeRean.gen!B (Microsoft)
W32/Behav-Heuristic-060 (TheHacker)
W32/FakeAV.EJ (F-Prot)
Win32:FraudLoad-SB (Avast)
Win32/Adware.XPAntiSpyware.AA (NOD32)
Win32/FakeAlert.HT (eTrust-Vet)
http://www.virustotal.com/ru/analisi...ccea2be8bb9c80
Описание
Скачивает с сайта downloadsoftindex.com и запускает программу XP Antispyware 2009(Trojan.Win32.FraudPack.gju), имитирующую работу антишпионской программы. XP Antispyware 2009 находит не существующие вредоносные файлы и предлагает зарегистрироваться на сайте xpas2009.com за 50$ для того чтобы удалить их (на следующей странице уже указана другая цена - $75.95).
Встречен в темах
https://virusinfo.info/showthread.php?t=32446
https://virusinfo.info/showthread.php?t=32456
https://virusinfo.info/showthread.php?t=32505
https://virusinfo.info/showthread.php?t=32856
https://virusinfo.info/showthread.php?t=33185
Файлы на диске
C:\WINDOWS\system32\wini10806.exe (цифры в имени случайные)
C:\Program Files\XP_AntiSpyware\Uninstall.exe
72660 байт
Последний раз редактировалось AndreyKa; 22.11.2008 в 19:06.
-
-
Trojan.Win32.Pakes.lel и FraudTool.Win32.XPSecurityCenter.bn
Алиасы
Downloader.MisleadApp (Symantec)
Downloader.Zlob.AEXO (AVG)
OScope.Downloader.Braviax.3 (VBA32)
Packer.Malware.Lighty.I (BitDefender)
Spyware.Pakes.9728.B (ViRobot)
TR/Pakes.lel (AntiVir)
TROJ_PAKES.GA (TrendMicro)
Trojan-Downloader.MisleadApp!sd6 (PCTools)
Trojan:Win32/Renos.I (Microsoft)
Trojan.Click.19754 (DrWeb)
Trojan.Pakes.lel (CAT-QuickHeal)
Trojan.Renos.ATC (VirusBuster)
W32/FakeAlert.LEL!tr (Fortinet)
W32/Lighty.E (Norman)
Win-Trojan/Pakes.9728.G (AhnLab-V3)
Win32: Lighty-B (Avast)
Win32/FakeAlert.HU (eTrust-Vet)
http://www.virustotal.com/ru/analisi...8515259ec89c0b
Описание
Показывает в трее красный круг с белым иксом.
Показывает всплывающее сообщение:
You computer is infected!
Windows has detected spyware infection!
It is recommended to use special antispyware tools to prevent
data loss.Windows will now download and install the most
up-to-date antispyware for you.
Click here to protect you computer from spyware!
Устанавливает http://www.google.com как стартовую страницу Internet Explorer.
Включает использование элементов ActiveX не помеченных как безопасные.
Отключает сообщения Центра Безопасности Windows о выключенном Брандмауэре, антивирусе и Автоматическом обновлении Windows.
Содержит имена доменов:
do-scan-progress.com
do-make-progress.com
do-progress.com
do-managed-scan.com
do-power-scan.com
do-step-scan.com
do-monster-progress.com
do-monsterscan.com
do-powerscan.com
do-stepscan.com
domonster-progress.com
domonster-scan.com
dopower-scan.com
dostep-scan.com
Обращяется к одному из них и получает переадресацию на файл Installer.exe (Trojan.Packed.1214) на сайте xpas-2009.com.
Сохраняет его под именем C:\WINDOWS\system32\wini10541.exe и запускает.
Последний в свою очередь закачивает и запускает фальшивый антивирус XP Antispyware 2009 c сайта download-soft-index.com.
Встречен в темах
https://virusinfo.info/showthread.php?t=32270
https://virusinfo.info/showthread.php?t=32505
https://virusinfo.info/showthread.php?t=32512
https://virusinfo.info/showthread.php?t=32609
Файл на диске
c:\windows\system32\brastk.exe
9728 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run,
Ключ реестра HKEY_USERS, .DEFAULT\Software\Microsoft\Windows\CurrentVersion \Run,
brastk = c:\windows\system32\brastk.exe
Дополнительные алиасы FraudTool.Win32.XPSecurityCenter.bn
Adware.XPSecurityCenter.R.10752.B (ViRobot)
Misc/XPSecurityCenter (Fortinet)
Packer.Malware.Lighty.N (BitDefender)
SHeur.CQPD (AVG)
TROJ_VIRANTIX.CX (TrendMicro)
Trojan-Downloader.Win32.Braviax.gf (VBA32)
Trojan.Fakealert.1671 (DrWeb)
Trojan.Virantix!sd6 (PCTools)
Trojan.Virantix.C (Symantec)
TrojanDownloader:Win32/Renos (Microsoft)
W32/FakeAlert.ET (F-Prot)
W32/Virantix.HJ (Norman)
Win32: Lighty-B (Avast)
Win32/FakeAlert.IJ (eTrust-Vet)
Win32/TrojanDownloader.FakeAlert.GU (NOD32)
http://www.virustotal.com/ru/analisi...9f0de8329dc1ba
Встречен в темах
https://virusinfo.info/showthread.php?t=32714
https://virusinfo.info/showthread.php?t=32736
https://virusinfo.info/showthread.php?t=32849
https://virusinfo.info/showthread.php?t=32856
Файл на диске
c:\windows\system32\brastk.exe
10752 байт
Последний раз редактировалось AndreyKa; 03.11.2008 в 02:57.
-
-
Trojan-Downloader.Win32.Exchanger.anm
Алиасы
TR/Dldr.Exchanger.anm (AntiVir)
Trj/Exchanger.G (Panda)
Trojan.Dldr.Exchanger.anm (SecureWeb-Gateway)
Trojan.Generic.1115750 (BitDefender)
Trojan.PWS.ICQSniff.25 (DrWeb)
TrojanDownloader.Exchanger.an (CAT-QuickHeal)
VirTool:Win32/Obfuscator.CW (Microsoft)
W32/DLoader.KUKW (Norman)
W32/Exchanger.ANM!tr.dldr (Fortinet)
Win32:Rootkit-gen (Avast)
Win32.Exchanger.anm (eSafe)
http://www.virustotal.com/ru/analisi...1587bd1f6d0e65
Встречен в темах
https://virusinfo.info/showthread.php?t=33650
https://virusinfo.info/showthread.php?t=33671
https://virusinfo.info/showthread.php?t=33783
https://virusinfo.info/showthread.php?t=34206
https://virusinfo.info/showthread.php?t=34785
Файлы на диске
c:\windows\msauc.exe
73216 байт
В файле записана ложная информация о версии:
Описание: ApacheBench/SSL command line utility
Copyright 2006 The Apache Software Foundation.
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\Run
lsass driver = C:\WINDOWS\msauc.exe
Внешние проявления (со слов пользователей)
От моего имени ICQ выслал всему контактному листу ссылку на какой-то сайт, хотя в тот день "аську" вообще не включал.
Последний раз редактировалось AndreyKa; 30.11.2008 в 15:52.
-
-
Backdoor.Win32.Small.gsc
Алиасы
BackDoor.Generic10.ZTX (AVG)
TR/Dldr.Small.hbg (AntiVir)
Trojan.Agent.aoss (CAT-QuickHeal)
Trojan.Dldr.Small.hbg (SecureWeb-Gateway)
Trojan.Generic.1156471 (BitDefender)
Trojan.Inject.4675 (DrWeb)
Trojan.Win32.Undef.tap (Rising)
W32/Small.GSC!tr.bdr (Fortinet)
Win-Trojan/Agent.28160.EV (AhnLab-V3)
Win32/Small.GRA (NOD32)
http://www.virustotal.com/ru/analisi...cc3f9879703002
Описание
Обращается к серверу 78.109.28.232 (находится на Украине) и скачивает зашифрованный файл.
Встречен в темах
https://virusinfo.info/showthread.php?t=34219
https://virusinfo.info/showthread.php?t=34234
https://virusinfo.info/showthread.php?t=34419
https://virusinfo.info/showthread.php?t=34464
https://virusinfo.info/showthread.php?t=34739
Файлы на диске
C:\WINDOWS\system32\msansspc.dll
28160 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Control\SecurityProviders ,
Добавляет к значению ключа SecurityProviders имя файла: msansspc.dll
-
-
Trojan.Win32.Jorik.Buterat.fyy, Trojan.Win32.Jorik.Buterat.guu, Trojan.Win32.Jorik.Buterat.gsr, Trojan.Win32.Jorik.Buterat.gmd
Алиасы(Trojan.Win32.Jorik.Buterat.fyy):
Generic29.AKTV (AVG)
Win32:Buterat-PU [Trj] (Avast)
Trojan.Generic.KDV.714643 (BitDefender)
BackDoor.Butirat.91 (DrWeb)
Win32.SuspectCrc!IK (Emsisoft)
a variant of Win32/Injector.VSW (NOD32)
Trojan.Jorik.Buterat.gak (VBA32)
https://www.virustotal.com/file/7907...is/1347285552/
Встречен в темах:
https://virusinfo.info/showthread.php?t=124442
https://virusinfo.info/showthread.php?t=124148
https://virusinfo.info/showthread.php?t=124430
https://virusinfo.info/showthread.php?t=124297
Описание:
Файлы на диске:
%AppData%\taskhost.exe
%AppData%\System.log
%USERPROFILE%\Local Settings\History\History.IE5\index.dat
%USERPROFILE%\Cookies\index.dat
%USERPROFILE%\Local Settings\Temporary Internet Files\Content.IE5
Способ запуска:
Ключ реестра HKEY_CURRENT_USER, software\Microsoft\Windows\CurrentVersion\Run, Taskhost = "%AppData%\taskhost.exe"
Дополнительно:
Запрашивает имя компьютера
Запрашивает имя пользователя
Считывает список всех входных имен для удаленного доступа
Запускает службу удаленного доступа RASMAN
Изменяет настройки зон безопасности в IE:
HKEY_CURRENT_USER, software\microsoft\windows\currentversion\internet settings\zonemap, intranetname = "00000001" (все локальные веб-узлы (не содержащие в своем составе точки), не сопоставленные ни с одной из зон безопасности, будут отнесены к зоне интрасети);
HKEY_CURRENT_USER, software\microsoft\windows\currentversion\internet settings\zonemap, proxybypass = "00000001" (все веб-узлы, подключенные в обход прокси-сервера, будут относиться к зоне интрасети);
HKEY_CURRENT_USER, software\microsoft\windows\currentversion\internet settings\zonemap, uncasintranet = "00000001" (все адреса URL, представляющие сетевой путь, будут относиться к зоне интрасети).
Сетевая активность:
Выполняет подключение на 37.1.198.131 (Германия) по 80 порту.
-
-
Techno, Спасибо за работу. М.б. и эта полезная тема оживет.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Backdoor.Win32.Shiz.fxst, Backdoor.Win32.Shiz.fxtw, Backdoor.Win32.Shiz.fuss, Backdoor.Win32.Shiz.fwah, Backdoor.Win32.Shiz.fvyh
Алиасы(Backdoor.Win32.Shiz.fxst):
Win32:Malware-gen (Avast)
Gen:Variant.Kazy.91307 (BitDefender)
Trojan.PWS.Ibank.456 (DrWeb)
a variant of Win32/Kryptik.ALNB (NOD32)
Trojan.Jorik.Buterat.gak (VBA32)
https://www.virustotal.com/file/8148...is/1347464720/
Встречен в темах:
https://virusinfo.info/showthread.php?t=124333
https://virusinfo.info/showthread.php?t=124374
https://virusinfo.info/showthread.php?t=124231
https://virusinfo.info/showthread.php?t=124249
https://virusinfo.info/showthread.php?t=124243
Описание:
Файлы на диске:
%Windir%\AppPatch\<random>.exe
%Temp%\<random>.tmp
Способ запуска:
Ключи реестра:
HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, userinit = "%Windir%\AppPatch\<random>.exe"
HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit = "%Windir%\AppPatch\<random>.exe"
HKEY_LOCAL_MACHINE, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, System = "%Windir%\AppPatch\<random>.exe"
HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Windows, Run = "%Windir%\AppPatch\<random>.exe"
HKEY_CURRENT_USER, Software\Microsoft\Windows NT\CurrentVersion\Windows, Load = "%Windir%\AppPatch\<random>.exe"
Файл win.ini:
windows, load
windows, run
Дополнительно:
Работает в фоновом режиме и позволяет осуществлять удаленный доступ к зараженной системе
-
-
Trojan-Spy.Win32.Carberp.pky, Trojan-Spy.Win32.Carberp.plz, Trojan-Spy.Win32.Carberp.cmz
Алиасы(Trojan-Spy.Win32.Carberp.pky):
PSW.Generic10.JFA (AVG)
Win32:Carberp-AIL [Trj] (Avast)
Trojan.Generic.KDV.698074 (BitDefender)
Trojan.Carberp.647 (DrWeb)
Trojan-Spy.Win32.Carberp!IK (Emsisoft)
Win32/TrojanDownloader.Carberp.AF (NOD32)
Trojan.Gen (Symantec)
https://www.virustotal.com/file/f50c...d5c2/analysis/
Встречен в темах:
https://virusinfo.info/showthread.php?t=124627
https://virusinfo.info/showthread.php?t=123855
https://virusinfo.info/showthread.php?t=123610
Описание:
Файлы на диске:
%папка автозагрузки текущего пользователя%\<random>.exe
%allusersprofile%\<random>\klpclst.dat
%allusersprofile%\<random>\wndsksi.inf
несколько файлов вида: %LocalSettings%\temp\<random>.tmp
Каталоги на диске:
%CommonAppData%\IBank
%allusersprofile%\<random>
Создает процессы:
%WinDir%\explorer.exe
%WinDir%\system32\svchost.exe
Создает ключ реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5FB17DE 5-379C-188F-5FB1-7DE5379C188F}
Способ запуска:
%папка автозагрузки текущего пользователя%\<random>.exe
Дополнительно:
Запрашивает имя компьютера
Загружает в свое адресное пространство библиотеки криптографии rsaenh.dll и crypt32.dll
Сетевая активность:
Выполняет подключение на 93.115.240.2(Румыния), 195.208.1.124(Россия).
Выполняет запрос к DNS на доменные имена:
Код:
www4.smartadserver.com
ced.sascdn.com
ad.adriver.ru
ar.tns-counter.ru
abibasss223.ru
pipiskaaaa2.ru
jjonnnyh23.ru
www.loktrans.ru
-
-
Backdoor.Win32.Buterat.dpiv, Trojan.Win32.Jorik.Buterat.uqp
Алиасы(Backdoor.Win32.Buterat.dpiv):
BackDoor.Generic16.DD (AVG)
Win32:Trojan-gen (Avast)
Gen:Variant.Zusy.22589 (BitDefender)
BackDoor.Butirat.201 (DrWeb)
Gen:Trojan.Heur.RP.hyW@a8TclNgk (B) (Emsisoft)
a variant of Win32/Injector.XVR (NOD32)
WS.Reputation.1 (Symantec)
https://www.virustotal.com/file/3b63...is/1353178211/
Встречен в темах:
https://virusinfo.info/showthread.php?t=127135
https://virusinfo.info/showthread.php?t=126785
https://virusinfo.info/showthread.php?t=126427
Описание:
Файлы на диске:
%USERPROFILE%\Application Data\Microsoft\taskhost.exe
или
%USERPROFILE%\Application Data\lsass.exe
%USERPROFILE%\Application Data\Microsoft\txt.exe (Trojan.Win32.Buzus [Kaspersky])
%USERPROFILE%\Application Data\Microsoft\System.log
%USERPROFILE%\Cookies\cf
%USERPROFILE%\Cookies\index.dat
%USERPROFILE%\Local Settings\History\History.IE5\index.dat
%USERPROFILE%\Local Settings\Temporary Internet Files\Content.IE5\<random>.html
%USERPROFILE%\Local Settings\Temporary Internet Files\Content.IE5\index.dat
%USERPROFILE%\Мои документы\AddIterra\<random>.dll
%USERPROFILE%\Мои документы\AddIterra\<random>.reg
%USERPROFILE%\Мои документы\Iterra\<random>.tmp
%USERPROFILE%\Мои документы\Iterra\<random>.reg
Каталоги на диске:
%USERPROFILE%\Мои документы\AddIterra
%USERPROFILE%\Мои документы\Iterra
Создает ключ реестра:
HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs = %USERPROFILE%\Мои документы\AddIterra\<random>.dll
Способ запуска:
HKEY_CURRENT_USER\current\software\Microsoft\Windo ws\CurrentVersion\Run\Taskhost = %USERPROFILE%\Application Data\Microsoft\taskhost.exe
или
HKEY_CURRENT_USER\current\software\Microsoft\Windo ws\CurrentVersion\Run\Taskhost = %USERPROFILE%\Application Data\lsass.exe
Дополнительно:
Запрашивает имя компьютера
Запрашивает имя пользователя
Запускает службу удаленного доступа RASMAN
Запускает службу уведомления о системных событиях SENS
Сетевая активность:
Код:
ulotrol.net
getcomdes.com
getinball.com
debijonda.com
veroconma.com
theloamva.com
vornedix.com
dentagod.com
liteworns.com
vengibit.com
tryangets.com
getintsu.com
detoxist.com
veroconma.com
94.250.248.53
37.230.112.104
91.220.35.154
http://ulotrol.net/941/85.html
http://ulotrol.net/213/84.html
http://ulotrol.net/816/904.html
http://ulotrol.net/469/897.html
http://37.230.112.104/544/776.html
http://ulotrol.net/413/135.html
-
-
Trojan-Spy.Win32.Zbot.jmfj
Алиасы(Trojan-Spy.Win32.Zbot.jmfj):
Dropper.Generic7.CAXS (AVG)
Win32:Vundo-AAV [Trj] (Avast)
Gen:Trojan.Heur.JP.huW@aSrUvNik (BitDefender)
Trojan.Carberp.647 (DrWeb)
Trojan-Spy.Win32.Carberp!IK (Emsisoft)
Win32/TrojanDownloader.Carberp.AF (NOD32)
Trojan.Gen (Symantec)
https://www.virustotal.com/ru/file/d...is/1362901110/
Встречен в темах:
https://virusinfo.info/showthread.php?t=134555
Описание:
Файлы на диске:
<папка запуска>\<random.exe> (например, %Userprofile%\AppData\Local\Temp\7smbeohv.exe)
<папка запуска>\<???.exe> , где ? - цифра (Kaspersky: UDS: DangerousObject.Multi.Generic)
Способ запуска:
Создает задание %windir%\tasks\<random.job>, которое каждые 10 минут запускает файл <папка запуска>\<random.exe> (например, %Userprofile%\AppData\Local\Temp\7smbeohv.exe)
Сетевая активность:
Код:
* Connects to "64.62.191.222" on port 80.
Connects to "127.0.0.1" on port 1037.
Connects to "64.62.191.222" on port 4321.
Connects to "5.61.32.83" on port 80 (TCP - HTTP).
Connects to "5.61.42.100" on port 80 (TCP - HTTP).
* Opens next URLs:
http://bvq7jz2rk.kifspa.net/542/90.html
http://bvq7jz2rk.kifspa.net/386/71.html
http://bvq7jz2rk.kifspa.net/7/885.html
http://bvq7jz2rk.kifspa.net/22/303.html
http://bvq7jz2rk.kifspa.net/708/244.html
http://xudywufas.smaram.info/71/142.html
http://bvq7jz2rk.kifspa.net/796/601.html
Запускает созданный файл <папка запуска>\<???.exe>
Дальше то, что делает файл <папка запуска>\<???.exe>
Каталоги на диске:
%Program Files%\<папка>\<папка> (например, %Program Files%\suda nana stavit etot soft\111 222 333 444 555, %Program Files%\i pomoch drudu csegda gotov\eslib iz zadnitsi sipalis dengi)
Файлы на диске (имена файлов и их содержание могут быть другими!!!):
%Program Files%\<папка>\<папка>\Elephantsarelargemammals.ba t
%Program Files%\<папка>\<папка>elephanttalk.lyrics
%Program Files%\<папка>\<папка>elephanttalk.vbs
%Program Files%\<папка>\<папка>Learnallyouwantedtoknowabout African.elephants
%Program Files%\<папка>\<папка>Learnallyouwantedtoknowabout African.vbs
%Program Files%\<папка>\<папка>most complete version at.Patara
%Program Files%\<папка>\<папка>ofthefamilyElephantidaeandth eorder.proboscidea
%Program Files%\<папка>\<папка>Uninstall.exe
%Program Files%\<папка>\<папка>Uninstall.ini
%userprofile%\Cookies\index.dat
%userprofile%\Local Settings\History\History.IE5\index.dat
%userprofile%\Local Settings\Temporary Internet Files\Content.IE5\index.dat
Файл hosts:
добавляет строки:
Код:
69.197.136.118 my.mail.ru
69.197.136.118 m.my.mail.ru
69.197.136.118 vk.com
69.197.136.118 ok.ru
69.197.136.118 m.vk.com
69.197.136.118 odnoklassniki.ru
69.197.136.118 vk.com
69.197.136.118 www.odnoklassniki.ru
69.197.136.118 m.odnoklassniki.ru
69.197.136.118 ok.ru
69.197.136.118 m.ok.ru
69.197.136.118 www.odnoklassniki.ru
Создает пустой файл %windir%\system32\drivers\etc\hоsts, о-русская
Дополнительно:
Запрашивает имя компьютера
Запрашивает имя пользователя
Запускает службу удаленного доступа RASMAN
Запускает службу уведомления о системных событиях SENS
Сетевая активность:
Код:
* Connects to "64.62.191.222" on port 80.
Connects to "127.0.0.1" on port 1037.
Connects to "64.62.191.222" on port 4321.
Последний раз редактировалось Techno; 10.03.2013 в 13:47.
Причина: убрал
-
-
Techno, на куски кода может быть детект. Аваст например материться на эту страницу. ИМХО, лучше убрать, чтобы у юзеров не возникало вопросов и проблем.
-
-
Olejah, На эту страницу ругается, а с детектом этого типа троянов проблемы.
-