Новости мира Underground

[Vanda]

Многофункциональный троян с возможностью обхода правил межсетевой защиты, не обнаруживаемый антивирусами на момент публикации информации.
Серверная часть состоит из файла c:\WINDOWS\svcr.exe размером 71,977 байт.
Также создает следующие ключи реестра:
startup:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run "system"
data: C:\WINDOWS\svcr.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2bf41070-b2b1-21d1-b5c1-0305f4055515} "StubPath"
data: C:\windows\svcr.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run "system"
data: C:\WINDOWS\svcr.exe

Описание от разработчика:

pyOne V1.0 Beta
Credit : APHEX Base Code
-SpyOne Function:
-Reverse Connection Router Proxi Firewall
-Spy CAM
-Spy Desktop
-Password Storage
-Spy Audio
-Remote File Manager
-Remote Regedit
-Remote Tcp
-Remote Tunel
-Remote Service Manager
-Remote Process Manager

ItalianFamily-EGHE

[Vanda]

Турецкий троян, написанный на Visual Basic, функциями удаленного управления компьютером. Состоит из одного файла c:\WINDOWS\system32\drivers\svchost.exe размером 53,248 байт. Для удаленного управления открывает 13000 TCP порт.

Также создает следующие ключи реестра:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System "DisableTaskMgr"
data: 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run "(Default)"
data: regedit.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run "server"
data: %local dir%\server.exe

[Vanda]

Турецкий троян написанный на Delphi. Состоит из файла c:\WINDOWS\system32\winserv.exe размером 204,290 байт.

Также создает следующий ключ реестра:

startup:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce "winserv"
data: C:\WINDOWS\System32\winserv.exe