-
Актуальные зловреды
Trojan-PSW.Win32.OnLineGames.mze
Здесь и далее во всех заголовках сообщений имя по классификации антивируса Касперского.
Алиасы
Packer.Malware.NSAnti.J (BitDefender)
VirTool:Win32/Obfuscator!Mal (Microsoft)
Troj/Lineag-Gen (Sophos)
Infostealer.Gampass (Symantec)
Встречен в темах
http://virusinfo.info/showthread.php?t=15961
http://virusinfo.info/showthread.php?t=15971
http://virusinfo.info/showthread.php?t=16675
Файлы на диске
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
semo2x.exe и autorun.inf - на всех дисках в корневой папке
Способ запуска
1. Ключ реестра HKEY_CURRENT_USER
Software\Microsoft\Windows\CurrentVersion\Run, amva
2. Запуск через файл AUTORUN.INF в корне основного и съемных дисков.
Внешние проявления (со слов пользователей)
Cкрытые файлы не показывает и диски при двойном клике открываются в новом окне.
Последний раз редактировалось AndreyKa; 27.01.2008 в 13:08.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Trojan.Win32.Patched.bh
Алиасы
Trojan.Patched.AU (BitDefender)
Встречен в темах
http://virusinfo.info/showthread.php?t=15945
http://virusinfo.info/showthread.php?t=15997
http://virusinfo.info/showthread.php?t=15929
http://virusinfo.info/showthread.php?t=16014
http://virusinfo.info/showthread.php?t=16026
http://virusinfo.info/showthread.php?t=16060
http://virusinfo.info/showthread.php?t=16076
http://virusinfo.info/showthread.php?t=16088
http://virusinfo.info/showthread.php?t=16290
http://virusinfo.info/showthread.php?t=17178
Файлы на диске
Модифицированный (патченный) системный файл
C:\WINDOWS\system32\svchost.exe
Этот файл нельзя удалять!!!
Его нужно заменить на чистый:
1) Записать чистый svchost.exe в папку C:\WINDOWS\system32\dllcache, затерев существующий.
2) Переименовать файл C:\WINDOWS\system32\svchost.exe например в svchost.vir
3) Записать чистый svchost.exe в папку C:\WINDOWS\system32\
4) Перезагрузить компьютер.
Или вылечить антивирусом Касперского.
Способ запуска
Запускается как системный файл, но в отличии от оригинального загружает библиотеку MSCORE.DLL в которой находится троян ( например Trojan.Win32.Small.yd )
Внешние проявления (со слов пользователей)
Исходящий траффик в два раза больше входящего.
Если удален файл MSCORE.DLL, то Windows при запуске задумывается на пару минут (индикатор диска при этом не горит) и загружается. Но все службы, связанные с svchost.exe не запускаются, не работает сеть.
Последний раз редактировалось AndreyKa; 09.02.2008 в 21:33.
Причина: Добавлено
-
-
AdWare.Win32.BHO.cc и Trojan.Win32.ConnectionServices.e
Последний раз редактировалось AndreyKa; 16.02.2008 в 09:11.
-
-
Последний раз редактировалось AndreyKa; 18.02.2008 в 07:20.
-
-
Trojan.Win32.ConnectionServices.m
Последний раз редактировалось AndreyKa; 16.02.2008 в 09:12.
-
-
Trojan.Win32.KillAV.ne
Алиасы
TR/Killav.NE (AntiVir)
Win32.Sector.4 (DrWeb)
Встречен в темах
http://virusinfo.info/showthread.php?t=16051
http://virusinfo.info/showthread.php?t=16054
http://virusinfo.info/showthread.php?t=16164
http://virusinfo.info/showthread.php?t=16250
http://virusinfo.info/showthread.php?t=16621
http://virusinfo.info/showthread.php?t=16990
http://virusinfo.info/showthread.php?t=17034
Файлы на диске
Может быть в виде файлов с расширением sys или dll. Имена файлов, скорее всего, случайные:
C:\WINDOWS\System32\drivers\mnnphn.sys
C:\WINDOWS\system32\vg109974.dll
Способ запуска
Драйвер: MCIDRV_2600_6_0 C:\WINDOWS\System32\drivers\mnnphn.sys (состояние: не запущен)
dll в запущенном состоянии детектируется AVZ:
С:\WINDOWS\system32\vg109974.dll>>> Нейросеть: файл с вероятностью 99.05% похож на типовой перехватчик событий клавиатуры/мыши
Источником этого трояна является файловый вирус.
Добавленны процедуры лечения этого вируса в антивирусы Касперского и DrWeb.
DrWeb детектирует зараженный файл как Win32.Sector.4
Антивирус Касперского детектирует зараженный файл как Virus.Win32.Sality.v
Внешние проявления (со слов пользователей)
Устанавливается в составе с другими вредоносными программами.
AVZ теперь после каждой перезагрузки совсем исчезает. Также удалился и CureIt!.
Последний раз редактировалось AndreyKa; 01.02.2008 в 00:13.
-
-
Rootkit.Win32.Agent.sc
Алиасы
Rkit/Agent.SC.1 (AntiVir)
BackDoor.Generic9.JSS (AVG)
W32/Agent.SC!tr.rkit (Fortinet)
VirTool:WinNT/Srizbi.A (Microsoft)
Rootkit/Agent.HOT (Panda)
Trojan/Agent.sc (TheHacker)
Встречен в темах
http://virusinfo.info/showthread.php?t=15997
http://virusinfo.info/showthread.php?t=16055
Файлы на диске
Имя файла случайное, состоит из нескольких букв и цифр. Например:
C:\WINDOWS\system32\drivers\Fhy58.sys
C:\WINDOWS\system32\drivers\Kkt51.sys
C:\WINDOWS\system32\drivers\Qby41.sys
C:\WINDOWS\system32\drivers\symavc32.sys
C:\WINDOWS\system32\Drivers\Cof49.sys
Размер 139.5 КБ
Способ запуска
Запускается как модуль пространства ядра.
Внешние проявления
В списке процессов имеется iexplore.exe с пометкой маскировки процесса (User Mode RootKit).
При попытке лечения в нормальном режиме запуска Windows компьютер зависает с черным экраном.
Лечить следует в безопасном режиме.
-
-
Сообщение от
AndreyKa
Алиасы
TR/Killav.NE (AntiVir)
Trojan.DownLoader.38489 (DrWeb)
Встречен в темах
http://virusinfo.info/showthread.php?t=16051
http://virusinfo.info/showthread.php?t=16054
Файлы на диске
Может быть в виде файлов с расширением sys или dll. Имена файлов, скорее всего, случайные:
C:\WINDOWS\System32\drivers\mnnphn.sys
C:\WINDOWS\system32\vg109974.dll
Способ запуска
Драйвер: MCIDRV_2600_6_0 C:\WINDOWS\System32\drivers\mnnphn.sys (состояние: не запущен)
Способ запуска файла dll не ясен. Но в запущенном состоянии детектируется AVZ:
С:\WINDOWS\system32\vg109974.dll>>> Нейросеть: файл с вероятностью 99.05% похож на типовой перехватчик событий клавиатуры/мыши
Внешние проявления (со слов пользователей)
Устанавливается в составе с другими вредоносными программами.
AVZ теперь после каждой перезагрузки совсем исчезает. Также удалился и CureIt!.
Это довольно злобная зараза. DLL дропает файл драйвера, дропается он в папку WINDOWS\System32\drivers, имя действительно изменяется. Драйвер регистрируется в реестре через штатное API, после регистрации он загружается. В драйвере хранится список имен фрагментов URL сайтов различных AV вендоров, список зашифрован. Задача драйвера - блокировать доступ к данным сайтам (если туда добавить virusinfo - пострадавший сюда не попадет). В самой DLL здоровенный список (зашифрованный) того, а с чем эта зараза может бороться ... в списке есть все распространенные антивирусы, Firewall и антитрояны, в частности там есть AVZ, AVP, DRWEB ... Борьба с антивирусами идет в два этапа - ведется попытка открытия служб по именам, при успешном открытии идет удаление. Это идет отдельным потоком ... другие потоки сканируют диски на предмет наличия файлов .VDB, .AVC, .KEY, .EXE, .SCR. При обнаружении принадлежащих антивирусам файлов зловред ведет их удаление. Пытается отключить UAC в Vista через реестр ... ведет обмен с сайтом в Инет
Последний раз редактировалось AndreyKa; 07.01.2008 в 23:35.
-
-
Trojan-Downloader.Win32.Agent.ggt
Алиасы
Generic9.AGXO (AVG)
Trojan.Kobcka.BY (BitDefender)
Trojan.Downloader-18735 (ClamAV)
BackDoor.Bulknet.112 (DrWeb)
Win32.Agent.ggt (eSafe)
Downloader.Agent.ggt (Ewido)
W32/Pushu.GGT!tr.dldr (Fortinet)
Generic.dx (McAfee)
VirTool:WinNT/Cutwail.F (Microsoft)
Win32/Wigon.AH (NOD32v2)
RootKit.Win32.Mnless.et (Rising)
Trojan-Downloader.Win32.Agent.gh (Sunbelt)
Trojan.Pandex (Symantec)
Trojan/Downloader.Agent.ggt (TheHacker)
Trojan.Wigon.C (VirusBuster)
Встречен в темах
http://virusinfo.info/showthread.php?t=15476
http://virusinfo.info/showthread.php?t=15608
http://virusinfo.info/showthread.php?t=15660
http://virusinfo.info/showthread.php?t=15989
http://virusinfo.info/showthread.php?t=16060
http://virusinfo.info/showthread.php?t=16202
http://virusinfo.info/showthread.php?t=16213
http://virusinfo.info/showthread.php?t=16257
http://virusinfo.info/showthread.php?t=16509
http://virusinfo.info/showthread.php?t=16595
http://virusinfo.info/showthread.php?t=16852
http://virusinfo.info/showthread.php?t=17455
http://virusinfo.info/showthread.php?t=17707
http://virusinfo.info/showthread.php?t=19242
Файлы на диске
Имя файла случайное, состоит из трех букв и двух цифр. Например:
C:\WINDOWS\system32\drivers\Taf40.sys
C:\WINDOWS\System32\drivers\Cyb60.sys
размер 21760 байт.
Обычно, есть копия этого трояна в папке C:\WINDOWS
Способ запуска
Драйвер: Cyb60 C:\WINDOWS\System32\Drivers\Cyb60.sys Группа: SCSI Class
(имя драйвера = имя файла)
Внешние проявления
Файл с соответствующем именем в списках "Модули пространства ядра" и
Драйверы.
Последний раз редактировалось AndreyKa; 10.03.2008 в 16:55.
-
-
Trojan-Downloader.Win32.Dirat.aw
Алиасы
Infostealer.Gampass (Symantec)
Mal/Basine-C (Sophos)
Trj/ProxyServer.AS (Panda)
Trojan.Downloader-20037 (ClamAV)
Trojan.MulDrop.8347 (DrWeb)
Trojan.Proxy.Metro.D (BitDefender)
TrojanDownloader.Dirat.aw (CAT-QuickHeal)
W32/Basine.AW!tr.dldr (Fortinet)
W32/Downldr2.AUYI (F-Prot)
Встречен в темах
http://virusinfo.info/showthread.php?t=15990
http://virusinfo.info/showthread.php?t=16083
Файлы на диске
c:\windows\system32\vhosts.exe
19968 байт
MD5=5C1321793E369D890695FECED14B1AAC
использует трояна в файле MSCORE.DLL
Способ запуска
Служба msupdate "Microsoft security update service" c:\windows\system32\vhosts.exe
-
-
Backdoor.Win32.Small.cbo
Алиасы
BackDoor.Generic9.JSD (AVG)
Backdoor.Small.cbo (CAT-QuickHeal)
Generic.dx (McAfee)
Trojan.Perfcoo (Symantec)
Trojan.Proxy.1739 (DrWeb)
TrojanDownloader:Win32/Eldycow.gen!A (Microsoft)
W32/Backdoor2.DZB (F-Prot)
Встречен в темах
http://virusinfo.info/showthread.php?t=15680
http://virusinfo.info/showthread.php?t=16041
http://virusinfo.info/showthread.php?t=16055
http://virusinfo.info/showthread.php?t=16125
Файлы на диске
C:\WINDOWS\murka.dat
MD5=677C2CE46988695A7605B430DA399A38
6144 байт
Способ запуска
C:\WINDOWS\murka.dat
Ключ реестра HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs
Последний раз редактировалось AndreyKa; 13.01.2008 в 23:38.
-
-
Hoax.Win32.Renos.aom
Идет в комплекте с Trojan.Win32.Agent.dqz и Backdoor.Win32.Small.cbo
Алиасы
Aplicacion/Renos.aom (TheHacker)
Generic9.AJYI (AVG)
Hoax.Renos.aom (Not a Virus) (CAT-QuickHeal)
TR/Renos.4608.2 (AntiVir)
Trojan:Win32/Wantvi.B (Microsoft)
Win32/Eldycow.N (eTrust-Vet)
Win32/TrojanDownloader.FakeAlert.U (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=15680
http://virusinfo.info/showthread.php?t=16041
http://virusinfo.info/showthread.php?t=16055
http://virusinfo.info/showthread.php?t=16125
http://virusinfo.info/showthread.php?t=16779
Файлы на диске
exe файл в папке Windows, возможны различные имена.
c:\windows\medichi.exe
C:\WINDOWS\mustafx.exe
4608 байт
Способ запуска
Ключ реестра HKEY_LOCAL_MACHINE,
Software\Microsoft\Windows\CurrentVersion\Run, Medichi (имя может быть другим)
В автозапуск также прописан файл с таким же именем + цифра 2 на конце.
Внешние проявления (со слов пользователей)
Предложение об установке spyware и появляется строка о копировании чего-то куда то .. Меняется время само по себе.
Последний раз редактировалось AndreyKa; 26.01.2008 в 17:13.
-
-
Trojan-Spy.Win32.Banker.hbo
Алиасы
Logger.Banker.hbo (Ewido)
PSW.Banker4.NBL (AVG)
TR/Spy.Banker.hbo (AntiVir)
Trojan-Spy.Banker.hbo (Sunbelt)
Trojan.Banker.Delf.YBG (BitDefender)
Trojan.PWS.Banker.14622 (DrWeb)
Trojan/Spy.Banker.hbo (TheHacker)
TrojanSpy.Banker.hbo (CAT-QuickHeal)
W32/Banker.BCCW (F-Prot)
W32/Banker.HBO!tr.spy (Fortinet)
Win32.Banker.hbo (eSafe)
Встречен в темах
http://virusinfo.info/showthread.php?t=16120
http://virusinfo.info/showthread.php?t=16133
http://virusinfo.info/showthread.php?t=16600
Файлы на диске
C:\WINDOWS\explorer.exe:submitter5.jpg
MD5=16DC64AD2DB4473405AA0631A72020D1
280064 байт
Это альтернативный поток системного файла. Не удаляйте C:\WINDOWS\explorer.exe !!!
Способ запуска
?
Функционирует как модуль процесса c:\windows\explorer.exe
Внешние проявления (со слов пользователей)
Explorer.exe в процессах кушает 99% системных ресурсов, помогает только его закрытие и повторный запуск.
При сканировании диска AVZ обнаруживает:
c:\windows\explorer.exe:submitter5.jpg:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
Последний раз редактировалось AndreyKa; 21.01.2008 в 23:05.
-
-
Последний раз редактировалось AndreyKa; 25.02.2008 в 11:38.
-
-
Сообщение от
AndreyKa
Алиасы
ADSPY/Sert.A (AntiVir)
Adware Generic2.ZOB (AVG)
AdWare.Agent.zo (Not a Virus) (CAT-QuickHeal)
Trojan.Click.5043 (DrWeb)
Win32/TrojanDownloader.Small.NZG (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=15997
http://virusinfo.info/showthread.php?t=16125
Файлы на диске
c:\windows\system32\users32.dat
Способ запуска
Способ запуска не определен.
users32.dat функционирует как модуль одного из запущенных пользовательских процессов.
Устанавливается в составе многочисленных вредоносных программ.
По показаниям приборов за его повление может отвечать Trojan-Dropper.Win32.Small.bdf, идентичное поведение у AdvWare.Win32.Agent.zb. Из базы анализатора по моему запросу была раскручена возможная цепочка действий дроппера - я советую хелперам присмотреться к драйверу WINDOWS\system32\drivers\beep.sys - с высокой степенью вероятности он подменен. Кроме того, на пораженном ПК стоит поискать файл WINDOWS\system32\dllcache\fuurod.sys. Известные разновидности блокируют антивирусы (avz в том числе) по именам исполняемых файлов.
-
-
Rootkit.Win32.Agent.sv
Алиасы
BackDoor.Generic9.LBM (AVG)
Generic.Zlob.96765D0B (BitDefender)
Rkit/Agent.SV (AntiVir)
Rootkit.Agent.sv (CAT-QuickHeal)
Trojan:Win32/Wantvi.D (Microsoft)
Trojan.Virantix.B (Symantec)
Trojan/Agent.sv (TheHacker)
W32/Agent.SV!tr.rkit (Fortinet)
Описание
http://www.symantec.com/security_res...738-99&tabid=2 (анг.)
Как уже отметил Зайцев Олег в предыдущем сообщении это один из нескольких файлов, устанавливаемых трояном дропером.
Пользователям, у которых антивирус нашел Rootkit.Win32.Agent.sv следует обратится в раздел Помогите, так как, этот файл идет в комплекте с несколькими вредоносными программами и, возможно, не все из них детектируются вашим антивирусом.
Встречен в теме
http://virusinfo.info/showthread.php?t=16041
http://virusinfo.info/showthread.php?t=16055
http://virusinfo.info/showthread.php?t=16167
Файлы на диске
C:\WINDOWS\System32\Drivers\Beep.SYS
61440 байт.
MD5=CD7336CD26222FF6D1C7872DA7A43173
Способ запуска
Подменяет собой системный драйвер с таким же именем и запускается вместо него.
Последний раз редактировалось AndreyKa; 13.01.2008 в 23:40.
-
-
Rootkit.Win32.Agent.jp
Алиасы
BackDoor.Generic8.TNU (AVG)
Rootkit.Agent.jp (Ewido)
Rootkit/Spammer.AEL (Panda)
Spy-Agent.bv.sys (McAfee)
TR/Rootkit.Gen (AntiVir)
Troj/RKRun-Gen (Sophos)
Trojan:WinNT/Cutwail.A!sys (Microsoft)
Trojan.Kobcka.AY (BitDefender)
Trojan.NtRootKit.422 (DrWeb)
Trojan.Pandex (Symantec)
Trojan.Rootkit-235 (ClamAV)
Virus.Win32.Small.EPJ (Ikarus)
W32/Agent.DPE!tr.rkit (Fortinet)
W32/Rootkit.AFW (F-Prot)
Win32:Small-EPJ (Avast)
Win32/Rootkit.Agent.EY (NOD32v2)
Встречен в темах
http://virusinfo.info/showthread.php?t=16077
http://virusinfo.info/showthread.php?t=16126
http://virusinfo.info/showthread.php?t=16213
http://virusinfo.info/showthread.php?t=16276
http://virusinfo.info/showthread.php?t=17187
http://virusinfo.info/showthread.php?t=18296
Файлы на диске
C:\WINDOWS\system32\drivers\runtime2.sys
Способ запуска
Служба runtime2
Внешние проявления
В списке "Модули пространства ядра" присутствует файл
C:\WINDOWS\system32\drivers\runtime2.sys
Перехватывает функции:
NtDeleteValueKey
NtEnumerateKey
NtEnumerateValueKey
NtOpenKey
NtSetValueKey
На компьютере в папке C:\WINDOWS\Temp присутствует вредоносный файл startdrv.exe (Trojan.Win32.Pakes.bqb).
Последний раз редактировалось AndreyKa; 19.02.2008 в 21:10.
-
-
Trojan-Spy.Win32.Broker.ap
Алиасы
Infostealer.Banker.C (Symantec)
PSW.Generic5.AFBZ (AVG)
PWS:Win32/Bankrypt.gen (Microsoft)
TR/Spy.Broker.ap (AntiVir)
Trj/Sinowal.HM (Panda)
Trojan.Proxy.2486 (DrWeb)
Trojan.Spy.Brokrypt.A (BitDefender)
Trojan.Zbot-159 (ClamAV)
Trojan/Spy.Broker.ao (TheHacker)
TrojanSpy.Broker.ap (CAT-QuickHeal)
W32/Agent.BRW!tr (Fortinet)
W32/Banker.CEEY (Norman)
W32/Trojan2.TRP (F-Prot)
Встречен в темах
http://virusinfo.info/showthread.php?t=16051
http://virusinfo.info/showthread.php?t=16112
http://virusinfo.info/showthread.php?t=16621
Описание
Похищает ценную информацию с зараженного компьютера.
Внедряет свой код во все процессы кроме CSRSS.EXE
Удаляет cookies в кеше Internet Explorer для того чтобы пользователям пришлось заново вводить пароли когда они входят на сайты банков.
Считывает пароли из защищенного хранилища.
Может выполнять следующие действия:
- перехватывать сетевой трафик;
- перехватывать ввод с клавиатуры;
- считывать информацию из буфера Windows;
- захватывать изображение с экрана;
- перенаправлять сетевой трафик.
- загружать собранную информацию на удаленный сайт по FTP протоколу.
http://www.symantec.com/security_res...335-99&tabid=2 (англ.)
Файлы на диске
C:\WINDOWS\System32\ntos.exe
Способ запуска
Ключи реестра
HKEY_USERS
.DEFAULT\Software\Microsoft\Windows\CurrentVersion \Run, userinit
HKEY_LOCAL_MACHINE
Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
Последний раз редактировалось AndreyKa; 22.01.2008 в 00:19.
-
-
AdWare.Win32.Agent.yz
Алиасы
ADSPY/Agent.YZ (AntiVir)
Adware Generic2.ZJH (AVG)
AdWare.Agent.yz (Not a Virus) (CAT-QuickHeal)
AdWare.Win32.Agent.y (eSafe)
Adware/Agent.yz (TheHacker)
Mal/Behav-119 (Sophos)
Trojan.Agent.AGHG (BitDefender)
Trojan.DownLoader.38353 (DrWeb)
W32/Heuristic-KPP!Eldorado (F-Prot)
Win32:Agent-PCI (Avast)
Описания
Загружает и запускает вредоносные программы, расположенные на веб-сайте.
Для обхода файрвола внедряет свой код в процессы такие как Internet Explorer.
Встречен в темах
http://virusinfo.info/showthread.php?t=16076
http://virusinfo.info/showthread.php?t=16167
http://virusinfo.info/showthread.php?t=16979
Файлы на диске
C:\WINDOWS\windsk.dll
15872 байт
Способ запуска
Запускается другой вредоносной программой, предположительно Rootkit.Win32.Agent.sv
Работает как модуль процессов explorer.exe и iexplore.exe
Последний раз редактировалось AndreyKa; 30.01.2008 в 00:06.
-
-
Rootkit.Win32.Agent.ql
Алиасы
Rootkit.Agent.ql (CAT-QuickHeal)
Rootkit.Win32.Agent.tw (F-Secure)
Trojan.NtRootKit.511 (DrWeb)
Trojan.Rootkit.Agent.NDW (BitDefender)
W32/Rootkit.AHL (F-Prot)
Встречен в темах
http://virusinfo.info/showthread.php?t=16155
http://virusinfo.info/showthread.php?t=16189
Файлы на диске
У файла случайное имя из букв, расширение dat, находится в папке C:\WINDOWS\system32\Drivers
Например:
C:\WINDOWS\system32\Drivers\ovtgjscc.dat
C:\WINDOWS\system32\Drivers\uucxtlmr.dat
19456 байт
Способ запуска
Драйвер со случайным именем, отличным от имени файла.
Группа: Boot Bus Extender
Работает как модуль пространства ядра.
Внешние проявления
AVZ в логе лечения выдает сообщение:
>>>> Подозрение на RootKit glvkqfgf C:\WINDOWS\system32\drivers\uucxtlmr.dat
-