-
Trojan-PSW.Win32.OnLineGames.
похоже новая модификация
распространяется через сменные носители
в корне всех доступных дисков создаются:
80avp08.com
autorun.inf
u.bat
(атрибут файлов - скрытый)
активируется через двойной клик по диску в проводнике (autorun)
признаки активности
.отключает просмотр скрытых файлов в проводнике (изменение через настройки папки не действует)
.по двойному клику диски открываются в отдельном окне
. в файлменеджере (типа FAR) находятся файлы
в System32:
amvo.exe
amvo0.dll
amvo1.dll
в корне дисков:
80avp08.com
autorun.inf
u.bat
и вероятно могут быть эти:
Ghost.pif
ntde1ect.com
Последний раз редактировалось Virtual; 08.01.2008 в 13:23.
Причина: синтаксис
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Угу, обновили. Еще бывает файл \WINDOWS\system32\wincab.sys.
Были autorun.inf и semo2k.exe в корневых директориях, amvo.exe, amvo0.dll, amvo1.dll в system32.
Сейчас детектятся как Trojan-PSW.Win32.OnLineGames.ngm по касперскому, дрвеб экзешники называет Trojan.MulDrop.6474, а dll - Trojan.PWS.Wsgame.2387.
Меняет ключи:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced]
"Hidden"=dword:00000002
"ShowSuperHidden"=dword:00000000
Для отображения скрытых директорий и файлов надо ставить их в 1.
-
-
\WINDOWS\system32\wincab.sys
драйвер "прикрытия"
есть и сейчас, он запакован в теле, основных модулей.
распаковывается> устанавливается >стартует >удаляется с диска (драйвера это позволяют)
так что драйвер активен, но на диске его нет
кстати, на виртуалке полностью пропатченная винда, эта кака почемуто не запустилась. (кстати использует явно "Microsoft .NET Framework")
-
Junior Member
- Вес репутации
- 60
Сообщение от
Alexey P.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced]
"Hidden"=dword:00000002
"ShowSuperHidden"=dword:00000000
Для отображения скрытых директорий и файлов надо ставить их в 1.
А поточнее? dword:1? Или заменять последний ноль в перечне цифр на 1?
-
Смотря чем меняете.
В regedit: "Изменить" и поставить вместо 0 1.
В .reg файле, начинающемся со строки REGEDIT4 (т.е. формата .reg Win9x/NT4) - заменить только последнюю цифру 0 или 2 на 1.
Добавлено через 2 минуты
Сообщение от
Virtual
кстати, на виртуалке полностью пропатченная винда, эта кака почемуто не запустилась. (кстати использует явно "Microsoft .NET Framework")
У неё явно есть защита от работы на виртуалке.
Последний раз редактировалось Alexey P.; 05.02.2008 в 00:17.
Причина: Добавлено
-
-
Сообщение от
Alexey P.
У неё явно есть защита от работы на виртуалке.
вот блин, начинаем ломать моск, как спрятать виртуалку от вирусов, это мой основной инструмент для тестов!, предпологаемых зловредов.
ЗЫ офтоп, чет в последнее время опять уровень вирусов явно попер вверх, опять поставили на комерческие рельсы..., а судя по тому что у разных зловредов схожие имена и куски алгоритмов, то их генерируют каким-то хак-кряк-коммерческим пакетом
-
продолжение истории, походил по знакомым с флешкой.
дома глянул на нее а там новый зверь (опять новая версия)
в корне влешки только autorun.inf
и exe со случайным именем (в нем Trojan-PSW.Win32.OnLineGames. похоже запакованный так как антивири его не узнают пока не распакуется)
и самое обидное, что файлы которые выкладывал в этой теме Удалены!
http://virusinfo.info/showpost.php?p...2&postcount=45
(1.reg
2.reg
Ops.cmd)
чего там наменяли непонял, так как что на работе что дома amvo.exe у меня вываливается с ошибкой.
-
Сообщение от
Virtual
и самое обидное, что файлы которые выкладывал в этой теме Удалены!
если хотите поделиться вредоносными файлами, то для этого существует форма загрузки (приложение 3 правил http://virusinfo.info/showthread.php?t=1235 )
-
-
Последний раз редактировалось Virtual; 20.04.2008 в 09:49.
Причина: Добавлено
-
Сообщение от
Virtual
вы меня малость неправильно поняли
я выкладывал не вредоносные файлы, а набор для отключения автозапуска, который активировался через механизм авторана. так вот этот набор и был удален с флешки, зловредом!!!
тоесть одно из
. или вирусописатели этой дряни читают данную тему
D
Враг не дремлет. Не забывай об этом каждый раз, когда выкладываешь что-то на этот форум. Это не моя паранойя, это просто предупреждение.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-