Показано с 1 по 10 из 10.

Trojan-PSW.Win32.OnLineGames.

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.09.2007
    Сообщений
    584
    Вес репутации
    634

    Trojan-PSW.Win32.OnLineGames.

    похоже новая модификация
    распространяется через сменные носители
    в корне всех доступных дисков создаются:
    80avp08.com
    autorun.inf
    u.bat

    (атрибут файлов - скрытый)
    активируется через двойной клик по диску в проводнике (autorun)
    признаки активности
    .отключает просмотр скрытых файлов в проводнике (изменение через настройки папки не действует)
    .по двойному клику диски открываются в отдельном окне
    . в файлменеджере (типа FAR) находятся файлы

    в System32:
    amvo.exe
    amvo0.dll
    amvo1.dll


    в корне дисков:
    80avp08.com
    autorun.inf
    u.bat


    и вероятно могут быть эти:
    Ghost.pif
    ntde1ect.com
    Последний раз редактировалось Virtual; 08.01.2008 в 13:23. Причина: синтаксис

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    740
    Угу, обновили. Еще бывает файл \WINDOWS\system32\wincab.sys.
    Были autorun.inf и semo2k.exe в корневых директориях, amvo.exe, amvo0.dll, amvo1.dll в system32.
    Сейчас детектятся как Trojan-PSW.Win32.OnLineGames.ngm по касперскому, дрвеб экзешники называет Trojan.MulDrop.6474, а dll - Trojan.PWS.Wsgame.2387.
    Меняет ключи:
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
    "CheckedValue"=dword:00000000

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced]
    "Hidden"=dword:00000002
    "ShowSuperHidden"=dword:00000000

    Для отображения скрытых директорий и файлов надо ставить их в 1.

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.09.2007
    Сообщений
    584
    Вес репутации
    634
    \WINDOWS\system32\wincab.sys
    драйвер "прикрытия"
    есть и сейчас, он запакован в теле, основных модулей.
    распаковывается> устанавливается >стартует >удаляется с диска (драйвера это позволяют)
    так что драйвер активен, но на диске его нет

    кстати, на виртуалке полностью пропатченная винда, эта кака почемуто не запустилась. (кстати использует явно "Microsoft .NET Framework")

  5. #4
    Junior Member Репутация
    Регистрация
    04.02.2008
    Сообщений
    4
    Вес репутации
    37
    Цитата Сообщение от Alexey P. Посмотреть сообщение
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
    "CheckedValue"=dword:00000000

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced]
    "Hidden"=dword:00000002
    "ShowSuperHidden"=dword:00000000

    Для отображения скрытых директорий и файлов надо ставить их в 1.
    А поточнее? dword:1? Или заменять последний ноль в перечне цифр на 1?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    740
    Смотря чем меняете.
    В regedit: "Изменить" и поставить вместо 0 1.
    В .reg файле, начинающемся со строки REGEDIT4 (т.е. формата .reg Win9x/NT4) - заменить только последнюю цифру 0 или 2 на 1.

    Добавлено через 2 минуты

    Цитата Сообщение от Virtual Посмотреть сообщение
    кстати, на виртуалке полностью пропатченная винда, эта кака почемуто не запустилась. (кстати использует явно "Microsoft .NET Framework")
    У неё явно есть защита от работы на виртуалке.
    Последний раз редактировалось Alexey P.; 05.02.2008 в 00:17. Причина: Добавлено

  7. #6
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.09.2007
    Сообщений
    584
    Вес репутации
    634
    Цитата Сообщение от Alexey P. Посмотреть сообщение
    У неё явно есть защита от работы на виртуалке.
    вот блин, начинаем ломать моск, как спрятать виртуалку от вирусов, это мой основной инструмент для тестов!, предпологаемых зловредов.

    ЗЫ офтоп, чет в последнее время опять уровень вирусов явно попер вверх, опять поставили на комерческие рельсы..., а судя по тому что у разных зловредов схожие имена и куски алгоритмов, то их генерируют каким-то хак-кряк-коммерческим пакетом

  8. #7
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.09.2007
    Сообщений
    584
    Вес репутации
    634
    продолжение истории, походил по знакомым с флешкой.
    дома глянул на нее а там новый зверь (опять новая версия)
    в корне влешки только autorun.inf
    и exe со случайным именем (в нем Trojan-PSW.Win32.OnLineGames. похоже запакованный так как антивири его не узнают пока не распакуется)
    и самое обидное, что файлы которые выкладывал в этой теме Удалены!
    http://virusinfo.info/showpost.php?p...2&postcount=45
    (1.reg
    2.reg
    Ops.cmd)

    чего там наменяли непонял, так как что на работе что дома amvo.exe у меня вываливается с ошибкой.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1639
    Цитата Сообщение от Virtual Посмотреть сообщение
    и самое обидное, что файлы которые выкладывал в этой теме Удалены!
    если хотите поделиться вредоносными файлами, то для этого существует форма загрузки (приложение 3 правил http://virusinfo.info/showthread.php?t=1235 )

  10. #9
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    04.09.2007
    Сообщений
    584
    Вес репутации
    634
    вы меня малость неправильно поняли
    я выкладывал не вредоносные файлы, а набор для отключения автозапуска, который активировался через механизм авторана. так вот этот набор и был удален с флешки, зловредом!!!
    тоесть одно из
    . или вирусописатели этой дряни читают данную тему
    . или троян "расковыривает" коммандный файл и удаляет все связанные файлы
    . или еще чего.

    Добавлено через 1 минуту

    Цитата Сообщение от Shu_b Посмотреть сообщение
    если хотите поделиться вредоносными файлами, то для этого существует форма загрузки (приложение 3 правил http://virusinfo.info/showthread.php?t=1235 )
    у меня нет привычки нарушать правила форума

    Добавлено через 13 минут

    упс. "набор для отключения автозапуска" также удален модераторами из темы
    Последний раз редактировалось Virtual; 20.04.2008 в 08:49. Причина: Добавлено

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от Virtual Посмотреть сообщение
    вы меня малость неправильно поняли
    я выкладывал не вредоносные файлы, а набор для отключения автозапуска, который активировался через механизм авторана. так вот этот набор и был удален с флешки, зловредом!!!
    тоесть одно из
    . или вирусописатели этой дряни читают данную тему
    D
    Враг не дремлет. Не забывай об этом каждый раз, когда выкладываешь что-то на этот форум. Это не моя паранойя, это просто предупреждение.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

Похожие темы

  1. Trojan-PSW.Win32.OnLineGames.isb
    От 1KG200G в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 20.06.2011, 14:38
  2. Ответов: 4
    Последнее сообщение: 10.12.2010, 16:49
  3. Ответов: 9
    Последнее сообщение: 09.10.2010, 12:31
  4. Trojan-PSW.Win32.OnLineGames.htm
    От deepmans в разделе Помогите!
    Ответов: 13
    Последнее сообщение: 22.02.2009, 04:50
  5. Trojan-PSW.Win32.OnlineGames.rty
    От yog в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 22.02.2009, 04:14

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00599 seconds with 16 queries