+ Ответить в теме
Страница 1 из 5 1 2 3 4 5 ПоследняяПоследняя
Показано с 1 по 20 из 149

Тема: Новости мира Underground

Комбинированный просмотр

  1. #1
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    Exclamation Новости мира Underground

    Обзор и обсуждение новых вирусов, троянов и тому подобных сетевых жителей

    Изменено на:

    Обзор и обсуждение новых вирусов, троянов и тому подобных сетевых жителей, а так же тех, кто создает эти программы и "гадит" с их помощью. Т.е. речь пойдет так же и о начинающих и продвинутых хакерах, которые сотворили в сети Интернет что-то не хорошее.

  2. #2
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    По умолчанию Trojan-Spy.HTML.Visafraud.a

    Другие названия
    Trojan-Spy.HTML.Visafraud.a (Лаборатория Касперского) также известен как: TrojanSpy.HTML.Visafraud.a (Лаборатория Касперского).
    Поведение Troyan-Spy, программа-шпион.
    Технические детали
    Троянская программа, использующая спуфинг-технологию. Реализована в виде поддельной HTML-страницы. Предназначена для кражи конфиденциальной информации клиентов платежной системы Visa.
    Рассылается по электронной почте под видом важного сообщения от Visa.

    В письме содержится ссылка, в которой использована Frame Spoof уязвимость в Internet Explorer.

    Попадая на сайт, пользователи вводят свои учетные данные, после чего они пересылаются злоумышленникам, и те могут получить полный доступ к управлению счетом пользователя.

    Уязвимость Frame Spoof присутствует в 5.x и 6.x версиях Microsoft Interner Explorer.

  3. #3
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    По умолчанию Trojan.Win32.Agent.ay

    Другие названия:
    Trojan.Win32.Agent.ay (Лаборатория Касперского) также известен как: Trojan.DownLoader.1518 (Doctor Web), Troj/Dloader-KL (Sophos), TROJ_AGENT.AAB (Trend Micro), Agent.F (Grisoft), Trojan.Agent.AY (SOFTWIN), Adware/Twain-Tech (Panda)

    Троянская программа, имеющая AdWare-функционал. При запуске копирует себя в %WINDIR%\System32 под случайным именем, а также регистрирует себя в системном реестре для автозагрузки. Имеет функцию обновления своих компонентов через Internet.
    Синхронизируется для своих нужд с NTP-серверами для получения точного времени.
    Следит за действиями пользователя, собирает различную информацию.

    Содержит текст:
    • callinghome.biz
    • startwatcher
    • OfferDrv-{F395B5B4-1837-4e79-AD7B-7287043E4DBC}

  4. #4
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    По умолчанию

    Trojan-Downloader.Win32.Vidlo.q
    Trojan-Downloader.Win32.Vidlo.q («Лаборатория Касперского») также известен как: Downloader-ACS (McAfee), Download.Trojan (Symantec), Trojan.DownLoader.3440 (Doctor Web), Troj/Vidlo-Q (Sophos), TROJ_DLOADER.RY (Trend Micro), TR/Dldr.Ldpinch.AK.2 (H+BEDV), Dropped:Trojan.PWS.Ldpinch.AK (SOFTWIN), Trojan.Downloader.Vidlo.q (ClamAV), Suspect File (Panda), Win32/TrojanDownloader.Vidlo.Q (Eset)
    Программа представляет собой Windows PE-EXE файл. Имеет размер около 5 КБ и более. Может быть упакована UPX, FSG или другими паковщиками. Размер распакованного файла — около 21 КБ или более в зависимости от программы-упаковщика.
    Данный троянец был разослан при помощи спам-рассылки.

    После запуска троянец копирует себя в корневой каталог Windows с именем Rechnung.pdf.exe:
    %Windir%\Rechnung.pdf.exe

    Затем регистрирует этот файл в ключе автозапуска системного реестра:
    [HKCU\Software\Microsoft\Windows\
    CurrentVersion\Run]
    "winldr"="%Windir%\Rechnung.pdf.exe"
    Троянская программа имеет функцию загрузки других троянцев из интернета и запуска их на компьютере пользователя.

  5. #5
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    По умолчанию

    Backdoor.Win32.Bifrose.d
    Backdoor.Win32.Bifrose.d («Лаборатория Касперского») также известен как: BackDoor-CKA.gen (McAfee), Backdoor.Bifrose (Symantec), BackDoor.Bifrost (Doctor Web), Troj/Bckdr-CER (Sophos), Backdoor:Win32/Bifrose.B (RAV), TROJ_HINOR.A (Trend Micro), TR/PSW.LdPinch.T (H+BEDV), BackDoor.Bifrose.D (Grisoft), Backdoor.Bifrose.D (SOFTWIN), Trojan.Bifro-11.A-srv (ClamAV), Bck/Bifrose.A (Panda), Win32/Bifrose.D (Eset)
    Троянская программа, предоставляющая злоумышленнику удалённый доступ к заражённой машине.

    Представляет собой Windows PE-EXE файл. Может быть упакована различными упаковщиками, поэтому размер зараженных файлов может незначительно варьироваться. Размер в пакованом виде — около 73 КБ, размер в распакованном виде может быть от 90 КБ и более.

    При инсталляции бекдор копирует себя в системный каталог Windows с именем system.exe:

    %System%\system.exe

    Затем регистрирует этот файл в ключах автозапуска системного реестра:

    [HKLM\Software\Microsoft\Windows\
    CurrentVersion\Run]
    [HKCU\Software\Microsoft\Windows\
    CurrentVersion\Run]
    "system"="%System%\system.exe"

    После чего бэкдор создает следующие ключи и записи в системном реестре:

    [HKLM\Software\Microsoft\Active Setup\Installed
    Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}
    "stubpath"="%System%\system.exe s"

    [HKCU\Software\Wget]
    [HKLM\Software\Wget]
    Также бэкдор создает файл с именем plugin1.dat в системном каталоге Windows:

    %System%\plugin1.dat

    Действия
    Backdoor.Win32.Bifrose.d открывает на зараженной машине TCP порт 1971 для предоставления злоумышленнику удалённого доступа к заражённой машине.

  6. #6
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    По умолчанию

    Trojan-PSW.Win32.LdPinch.rn
    Trojan-PSW.Win32.LdPinch.rn («Лаборатория Касперского») также известен как: Bloodhound.W32.EP (Symantec)
    Программа предназначена для кражи конфиденциальной информации пользователя. Является приложением Windows (PE EXE-файл), имеет размер около 17 КБ, упакована с помощью UPX.

    При инсталляции троянец копирует себя в системный каталог Windows с именем svc.exe:

    %System%\svc.exe
    Затем регистрирует этот файл в ключе автозапуска системного реестра:

    [HKCU\Software\Microsoft\Windows\
    CurrentVersion\Run]
    "System"="%System%\svc.exe"
    Троянец собирает сведения о системе, а также логины и пароли для различных сервисов и прикладных программ, в том числе AOL Instant Messenger и ICQ.

    Trojan-PSW.Win32.LdPinch.rn выгружает из системы различные межсетевые экраны и антивирусные программы

  7. #7
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    По умолчанию

    Backdoor.Win32.Landis.b
    Backdoor.Win32.Landis.b («Лаборатория Касперского») также известен как: W32/Generic.worm!p2p (McAfee), W32.Chod.D (Symantec), BackDoor.Generic.1066 (Doctor Web), Worm.Mytob.GH (ClamAV), Trj/Multidropper.ARF (Panda)
    Троянская программа, предоставляющая злоумышленнику удалённый доступ к заражённой машине. Управляется через IRC.

    Представляет собой Windows PE-EXE файл. Имеет размер около 113 КБ.

    При инсталляции бэкдор создает папку со случайным именем в системном каталоге Windows и копирует себя в эту папку с именем csrss.exe.

    Также в данной папке бекдор создает следующие файлы:
    %System%\drtusi\csrss.dat
    %System%\drtusi\csrss.ini
    После чего оригинальный запускаемый файл удаляется.

    Бекдор создает ссылку на себя в каталоге автозагрузки:
    %UserProfile%\Start Menu\Programs\Startup\csrss.lnk
    Затем регистрирует себя в ключах автозапуска системного реестра:
    [HKLM\Software\Microsoft\Windows\
    CurrentVersion\Run]
    [HKCU\Software\Microsoft\Windows\
    CurrentVersion\Run]
    "csrss"=" "

    Программа соединяется с различными серверами IRC и получает команды удалённого управления от «хозяина». Спектр доступных команд очень разнообразен и позволяет осуществлять полный контроль над системой, а также осуществлять атаки на другие компьютеры, скачивать файлы и т.д.

    Помимо этого бэкдор обладает следующей функциональностью:

    * распространение по команде злоумышленника по каналам MSN Messenger ссылки, призывающей пользователей скачать копию данного бекдора; при этом ссылка выглядит весьма безопасно: http://www.vbulettin.com/[removed], – очень похоже на адрес авторитетного журнала антивирусной индустрии Virus Bulletin, и может вызвать заблуждение пользователей;

    * загрузка и запуск на зараженном компьютере различных файлов;

    * удаление файлов;

    * остановка различных активных процесов;

    * перезагрузка компьютера;

    * проведение DoS-атак;

    * отсылка злоумышелннику подробной информации о системе, в том числе вводимых с клавиатуры паролей и другой секретной информации;

    * выполнение на зараженном компьютере различных команд;

    * закрузка своих обновлений;

    * прочеее.

    Бэкдор изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:
    127.0.0.1 avp.com
    127.0.0.1 download.mcafee.com
    127.0.0.1 kaspersky.com
    127.0.0.1 zonelabs.com и т.д.
    Landis.b выгружает из системы процессы, содержащие в именах следующие строки:
    bbeagle.exe
    regedit.exe
    winsys.exe
    zapro.exe
    zlclient.exe и т.п.

  8. #8
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    По умолчанию Trojan-PSW.Win32.Lineage.ha

    Trojan-PSW.Win32.Lineage.ha («Лаборатория Касперского») также известен как: DR/Lineage.GY.1 (H+BEDV), Trojan.Spy.Lineage-10 (ClamAV)

    Программа, предназначенная для кражи конфиденциальной информации. Является приложением Windows (PE EXE-файл), имеет размер около 68 КБ, упакована ASPack. Размер распакованного файла около 81 КБ.

    При инсталляции троянец копирует себя в каталог %Program Files%, используя одно из следующих имен:%Program Files%\Internat.exe %Program Files%\rundll32.exe %Program Files%\svhost32.exe

    Затем регистрирует этот файл в ключе автозапуска системного реестра:[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"="%Program Files%\svhost32.exe"

    Также троянец создает следующий файл в системном каталоге Windows:

    %System%\T1dll.dll

    Действия

    Троянец собирает различную конфеденциальную информацию с зараженного компьютера (системные пароли, клавиатурный ввод, список запущенных процессов).

    Также Lineage.ha выгружает из системы процессы, содержащие в именах следующие строки:Eghost.exeIparmor.exeKavpfw.exeMailmon.exeR avmon.exe

  9. #9
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    По умолчанию Trojan-Downloader.Win32.Small.bdc

    Троянская программа, загружающая из интернета файлы без ведома пользователя. Является приложением Windows (PE EXE-файл), ничем не упакована. Имеет размер 3072 байта.

    При запуске троянец проверяет наличие соединения с Интенертом на зараженном компьютере. И в случае «успеха» скачивает с сервера u***ti.lycos.it/vx9 следующие файлы:

    * cback.exe — детектируется Антивирусом Касперского, как Backdoor.Win32.Small.gl

    * gaelicum.exe — детектируется Антивирусом Касперского, как Virus.Win32.Tenga.a

    Файлы сохраняются в папке троянца, запускаются на исполнение и прописываются в ключе автозапуска системного реестра:[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

  10. #10
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    По умолчанию Worm.Win32.Rahak.a

    Worm.Win32.Rahak.a («Лаборатория Касперского») также известен как: W32/RAHack (McAfee), W32.Rahack (Symantec), Win32.RAHack (Doctor Web), Troj/Agent-BQ (Sophos), Backdoor:Win32/Agent.GO (RAV), BKDR_RASBA.B (Trend Micro), TR/RAHack (H+BEDV), BackDoor.Agent.5.N (Grisoft), Backdoor.Agent.GO (SOFTWIN), W32/Rahack.B (Panda), Win32/Agent.GO (Eset)

    Червь представляет собой PE EXE-файл. Имеет размер от 69 КБ и более. Упакован FSG. Размер распакованного файла — около 194 КБ и более.

    После запуска червь копирует себя в системный каталог Windows со следующими именами:
    %System%\mscolsrv.exe
    %System%\svchsot.exe

    Червь может работать как обычное приложение и как сервис (под Windows NT/2K/XP) с именем MSCoolServ.

    Также в системном каталоге Windows червь создает следующие файлы:

    * %System%\server.dll (около 78 КБ) — детектируется Антивирусом Касперского, как Trojan-Dropper.Win32.Small.pu; * %System%\syshid.exe (около 5 КБ) — детектируется Антивирусом Касперского, как Worm.Win32.Rahak.a.

    Распространение по сети

    Червь распространяется по слабо защищенным сетевым ресурсам. Червь заражает компьютеры в глобальной сети, на которых установлена утилита удаленного управления Remote Administrator, позволяющая получить доступ к интерфейсу удаленного компьютера в режиме реального времени. Для своей работы RAdmin по умолчанию использует TCP порт 4899. Червь сканирует произвольные IP-адреса компьютеров, слабозащищенных паролем, с открытым TCP портом 4899.

    Действия

    На зараженном компьютере червь ищет файлы с расширениями htm и html и копирует себя в те же папки с теми же именами с расширением exe. Червь изменяет оригинальные htm и html файлы, дописывая в них код, запускающий вместо них копию вируса.

  11. #11
    Джедай nons Трогаюсь nons Трогаюсь nons Трогаюсь nons Трогаюсь nons Трогаюсь nons Трогаюсь nons Трогаюсь nons Трогаюсь nons Трогаюсь nons Трогаюсь nons Трогаюсь
    Регистрация
    22.01.2005
    Сообщений
    3,753
    Поблагодарил(а)
    419
    Получено благодарностей: 1,257 (сообщений: 528).

    По умолчанию

    W32.Zotob.A - червь, эксплуатирующий уязвимость в Microsoft Windows Plug and Play сервисе, описанную в бюллетене безопасности MS05-039. MS05-039.

    W32.Zotob.A не заражает компьютеры под управлением Windows 95/98/Me/NT4. Несмотря на это, они могут использоваться для заражения других уязвимых компьютеров.

    При запуске W32.Zotob.A выполняет следующие действия:

    1. Создает следующий флаг для того, чтобы только одна копия червя выполнялась на скомпрометированном компьютере: B-O-T-Z-O-R

    2. Копирует себя как %System%\botzor.exe.

    3. Добавляет значение:


    "WINDOWS SYSTEM" = "botzor.exe"

    в подключи реестра:


    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\Run
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\RunServices

    4. Изменяет значение:


    "Start" = "4"

    в ключе реестра:


    HKEY_LOCAL_MACHINE\SYSTEM\
    CurrentControlSet\Services\SharedAccess

    чтобы отключить Shared Access сервис в Windows 2000/XP.

    5. Соединяется с IRC сервером на домене [http://]diabl0.turkcoders.net/[REMOVED] по 8080 TCP порту. Что дает удаленный неавторизованный доступ.

    6. Открывает FTP сервер по 33333 TCP порту .

    7. Генерирует случайный IP адрес из текущего IP адреса. Червь оставляет первые два октета IP адреса системы и изменяет случайным образом последние два октета. Например, если IP адрес системы 192.168.0.1, червь попытается заразить IP адреса, начиная с 192.168.x.x.

    8. Пытается распространиться на компьютеры со случайными IP адресами, открывая бекдор на 8888 TCP порту на удаленном компьютере. Червь пытается эксплуатировать уязвимость в Microsoft Windows Plug and Play сервисе, описанную в Microsoft Security Bulletin MS05-039.

    9. Копирует следующий файл в скомпрометированный компьютер и выполняет FTP скрипт, содержащийся в нем:

    %System%\2pac.txt

    10. Загружает и выполняет копию червя с предварительно созданного FTP сервера на зараженном компьютере:


    %System%\haha.exe

    11. Добавляет следующие записи в хост файл:

    .... Made By .... Greetz to good friend [REMOVED] in the next 24hours!!!

    127.0.0.1 www.symantec.com
    127.0.0.1 securityresponse.symantec.com
    127.0.0.1 symantec.com
    127.0.0.1 www.sophos.com
    127.0.0.1 sophos.com
    127.0.0.1 www.mcafee.com
    127.0.0.1 mcafee.com
    127.0.0.1 liveupdate.symantecliveupdate.com
    127.0.0.1 www.viruslist.com
    127.0.0.1 viruslist.com
    127.0.0.1 viruslist.com
    127.0.0.1 f-secure.com
    127.0.0.1 www.f-secure.com
    127.0.0.1 kaspersky.com
    127.0.0.1 kaspersky-labs.com
    127.0.0.1 www.avp.com
    127.0.0.1 www.kaspersky.com
    127.0.0.1 avp.com
    127.0.0.1 www.networkassociates.com
    127.0.0.1 networkassociates.com
    127.0.0.1 www.ca.com
    127.0.0.1 ca.com
    127.0.0.1 mast.mcafee.com
    127.0.0.1 my-etrust.com
    127.0.0.1 www.my-etrust.com
    127.0.0.1 download.mcafee.com
    127.0.0.1 dispatch.mcafee.com
    127.0.0.1 secure.nai.com
    127.0.0.1 nai.com
    127.0.0.1 www.nai.com
    127.0.0.1 update.symantec.com
    127.0.0.1 updates.symantec.com
    127.0.0.1 us.mcafee.com
    127.0.0.1 liveupdate.symantec.com
    127.0.0.1 customer.symantec.com
    127.0.0.1 rads.mcafee.com
    127.0.0.1 trendmicro.com
    127.0.0.1 pandasoftware.com
    127.0.0.1 www.pandasoftware.com
    127.0.0.1 www.trendmicro.com
    127.0.0.1 www.grisoft.com
    127.0.0.1 www.microsoft.com
    127.0.0.1 microsoft.com
    127.0.0.1 www.virustotal.com
    127.0.0.1 virustotal.com
    127.0.0.1 www.amazon.com
    127.0.0.1 www.amazon.co.uk
    127.0.0.1 www.amazon.ca
    127.0.0.1 www.amazon.fr
    127.0.0.1 www.paypal.com
    127.0.0.1 paypal.com
    127.0.0.1 moneybookers.com
    127.0.0.1 www.moneybookers.com
    127.0.0.1 www.ebay.com
    127.0.0.1 ebay.com

    Взято с СекЛаб
    Телевизор — это просто маленькое прозрачное окошко в трубе духовного мусоропровода. © В. Пелевин.

  12. #12
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    По умолчанию Backdoor.Mepcod

    Backdoor.Mepcod – это троянская программа, которая открывает бекдор и загружает файл, содержащий дополнительные команды.

    При запуске Backdoor.Mepcod выполняет следующие действия:

    1. Копирует себя как следующий файл:%Windir%\McAfeeScanPlus.exe.

    2. Просматривает следующий файл и открывает его вместе с mspaint.exe: %CurrentFolder%\me.bmp

    3. Создает следующий файл, в котором содержится информация используемая для регистрации учетной записи: %Windir%\winlogon9.log

    4. Добавляет значение:"McAfeeScanPlus" = %Windir%\McAfeeScanPlus.exe"

    в ключ реестра:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind ows\CurrentVersion\Run

    5. Добавляет значение: "%Windir%\McAfeeScanPlus.exe" = "%Windir%\McAfeeScanPlus.exe:*:Enabled:McAfeeScanP lus"

    в подключ реестра:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Se rvices\SharedAccess\Parameters\FirewallPolicy\Stan dardProfile\AuthorizedApplications\List

  13. #13
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    По умолчанию Trojan.Win32.KillAV.ek

    Trojan.Win32.KillAV.ek («Лаборатория Касперского») также известен как: Downloader-WD (McAfee), Trojan.KillAV (Symantec), Troj/KillAv-Z (Sophos), TrojanDownloader:Win32/Cartok.A (RAV), TROJ_KILLAV.BX (Trend Micro), TR/KillAV.EK (H+BEDV), Downloader.Small.30.AD (Grisoft), Trojan.KillAV.EK (SOFTWIN), Trj/KillAV.AK (Panda)

    Программа является приложением Windows (PE EXE-файл). Написана на языке Visual C++. Имеет размер 6656 байт, упакована Pec. Размер распакованного файла — около 9 KB.

    После запуска троянец копирует себя во временный каталог Windows с именем svchst.exe:%Temp%/svchst.exe

    Оригинальный запускаемый файл при этом удаляется.

    KillAV.ek выгружает из памяти процессы, имена которых попадают в следующий список:_AVP32.EXE_AVPCC.EXE_AVPM.EXEACKWIN32.EXEAL G.EXEANTI-TROJAN.EXE и т.д.

  14. #14
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    По умолчанию Email-Worm.Win32.Monikey.a

    Email-Worm.Win32.Monikey.a («Лаборатория Касперского») также известен как: PWS-Vipgsm.dll (McAfee), PWSteal.Trojan (Symantec), Trojan.Starter (Doctor Web), HTML.Bagle.BM-eml (ClamAV), Trj/Vipgsm.W (Panda)


    Вирус-червь, рассылающий по всем найденным на зараженном компьютере адресам электронной почты зараженные электронные письма. Зараженные письма содержат ссылку на Интернет сервера, на которых находятся копии червя. Также вирус распространяется через файлообменные сети.

    Червь представляет собой PE EXE-файл. Упакован UPX. Размер в пакованом виде - примерно 80 КБ, размер в распакованном виде - примерно 274 КБ.

    После запуска червь копирует себя с именем "mstcpmon.exe" в системный каталог Windows:

    %System%\mstcpmon.exe

    Также в системном каталоге Windows червь создает следующие файлы:

    %System%\chkdskw.exe%System%\itstore.dll%System%\k ernel32.dll%System%\mslogon.dll%System%\mswshell.d ll

    Характеристики зараженных писем

    Зараженные письма выглядят следующим образом:

    Отправитель:
    postcard service

    Тема письма:

    Открытка с POSTCARD.RU номер <произвольный номер>

    Текст письма:
    Содержит ложную ссылку на совершенно легальный сайт он-лайн открыток. Однако если пользователь открывает данную ссылку, то автоматически перенаправляется на сервер содержащий копию червя.

    Email-Worm.Win32.Monikey.a может изменять файл "%System%\drivers\etc\hosts" таким образом, чтобы заблокировать доступ к сайтам некоторых антивирусных компаний.

    Также червь имеет функциональность трояской программы – шпиона. Червь собирает различную конфеденциальную информацию с зараженного компьютера (системные пароли, клавиатурный ввод, список запущенных процессов). Полученная информация отсылается злоумышленнику по электронной почте.

  15. #15
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    По умолчанию Net-Worm.Win32.Nanspy.d

    Net-Worm.Win32.Nanspy.d («Лаборатория Касперского») также известен как: W32/Generic.Delphi.b (McAfee), W32.Kassbot (Symantec), Trojan.DownLoader.3636 (Doctor Web), W32/Nanpy-C (Sophos), WORM_NANPY.A (Trend Micro), Exploit.DCOM.Gen (ClamAV), Trj/Downloader.DAN (Panda)

    Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Червь представляет собой PE EXE-файл. Имеет размер около 34 КБ, упакован UPX. Размер распакованного файла около 103 KБ.

    Вирус распространяется, используя уязвимость Microsoft Windows DCOM RPС (MS03-026).
    После запуска червь копирует себя в системный каталог Windows с именем "mmsvc32.exe":

    %System%\mmsvc32.exe и регистрирует этот файл в ключе автозапуска системного реестра:

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]"Microsoft Network Services Controller" = "%System%\mmsvc32.exe"т.е. при каждой следующей загрузке Windows автоматически запустит файл червя.

    Распространение через интернет

    Червь запускает процедуры выбора IP-адресов для атаки и, в случае наличия на атакуемой машине уязвимости DCOM RPС, запускает на удаленной машине свой код.

    Действие

    Червь отслеживает все открытые окна Internet Explorer и в том случае, если в окне браузера просматривается определенный интернет сайт, собирает всю доступную конфеденциальную информацию с этого сайта (логины, пароли вводимые с клавиатуры) и сохраняет ее в создаваемый файл в системном каталоге Windows.

    Также червь имеет функцию загрузки своих обновлений с удаленного сервера в Интернете.

  16. #16
    Благородный B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе Аватар для B|!zzard
    Регистрация
    08.03.2006
    Адрес
    Россия, Иркутск
    Сообщений
    9,511
    Поблагодарил(а)
    580
    Получено благодарностей: 2,356 (сообщений: 1,521).

    По умолчанию

    Небольшие корректировки (см. ниже).

    Обзор и обсуждение новых вирусов, троянов и тому подобных сетевых жителей, а так же тех, кто создает эти программы и "гадит" с их помощью. Т.е. речь пойдет так же и о начинающих и продвинутых хакерах, которые сотворили в сети Интернет что-то не хорошее.

    З.Ы. Изменил самж креатора этой темы.

  17. #17
    Благородный B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе Аватар для B|!zzard
    Регистрация
    08.03.2006
    Адрес
    Россия, Иркутск
    Сообщений
    9,511
    Поблагодарил(а)
    580
    Получено благодарностей: 2,356 (сообщений: 1,521).

    По умолчанию

    Немецкие хакеры получат бесплатный проезд в Нидерландах?

    Нажмите на изображение для увеличения
Название: 15789700.jpg
Просмотров: 84
Размер:	6.9 Кб
ID:	131436

    Немецкие хакеры поставили под вопрос введение в 2009 году в Нидерландах электронных билетов для общественного транспорта, сообщает РИА Новости. Немецким хакерам удалось взломать код, защищавший билеты. Демонстрация взлома была проведена на хакерском съезде в Берлине. "Эту технологию для чипа теперь можно выбросить", - заявил самый известный голландский хакер Роп Хонгхрейп (Rop Gonggrijp). Бюджет взлома составил 100 евро – именно столько стоит аппарат, дающий полный контроль над чипом Mifare, используемом в электронных билетах.

    Таким образом сейчас голландской компании NXP, разработавшей чип, придется вплотную заняться изучением методов взлома и их возможных последствий (предсказать которые нетрудно). В качестве запасного варианта NXP имеет более дорогостоящую и лучше защищенную модификацию чипа, однако в случае его применения окажутся выброшенными "на ветер" деньги, потраченные на создание прежней версии чипа Mifare.

    Источник: www.tachlabs.ru

  18. #18
    Благородный B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе Аватар для B|!zzard
    Регистрация
    08.03.2006
    Адрес
    Россия, Иркутск
    Сообщений
    9,511
    Поблагодарил(а)
    580
    Получено благодарностей: 2,356 (сообщений: 1,521).

    По умолчанию

    Новый троян скрывается в загрузочном секторе винчестера

    Нажмите на изображение для увеличения
Название: 15789900.jpg
Просмотров: 87
Размер:	6.1 Кб
ID:	131437

    Symantec сообщает о распространении нового руткита, устанавливающегося в загрузочном секторе винчестера. Руткит заносится в главную загрузочную запись жесткого диска, откуда запускается сразу же с загрузкой системы, из-за чего остается незамеченным большинством антивирусов. Обычно руткиты устанавливаются как драйверы вместе с устройствами или программами, что значительно облегчает их обнаружение, однако в данном случае руткит может действовать еще до загрузки системы параллельно с биосом, что существенно повышает эффективность его присутствия на компьютере.

    По данным Symantec, руткит производил массовые заражения 12 и 19 декабря прошлого года, им было заражено около 5000 компьютеров. За разработку руткита ответственна группа хакеров, создавших троян Torpig, установленный более чем на 250 тыс. систем, сообщает iDefense. Особенный интерес вызвал анализ происхождения руткита, произведенный специалистом под ником "gmer". Выяснилось, что для его написания за основу был взят руткит, первоначально созданный специалистами eEye Digital Security и показанный на конференции Black Hat в августе 2005 года. Тестирование Symantec показало, что успешное использование трояна возможно только в Windows XP.

    Источник: www.tachlabs.ru

  19. #19
    Благородный B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе Аватар для B|!zzard
    Регистрация
    08.03.2006
    Адрес
    Россия, Иркутск
    Сообщений
    9,511
    Поблагодарил(а)
    580
    Получено благодарностей: 2,356 (сообщений: 1,521).

    По умолчанию

    ActiveScan: итоги 2007 года

    Нажмите на изображение для увеличения
Название: 15796700.jpg
Просмотров: 87
Размер:	10.3 Кб
ID:	131438

    PandaLabs подвела итоги работы бесплатного онлайнового антивирусного сканера ActiveScan за 2007 год. Как того и следовало ожидать, безоговорочным лидером среди обнаруженных вредоносных объектов стали трояны – на их долю пришлось 25.83% обнаруженных угроз, а также трояны были выявлены в 77.4% случаев обнаружения нового вредоносного ПО. "Трояны – это ключевая часть актуальной модели кибер-преступничества, поскольку они являются идеальным интрументом для использования заражений в финансовых целях, которые, на данный момент, являются основным приоритетом преступников, орудующих в Интернете", - отметил Луис Корронс, технический директор PandaLabs.

    Второе место досталось рекламным модулям – среди обнаруженных угроз они лишь немногим уступили троянам – итоговые 25.39%, а среди новых образцов их доля составила 11.20%. Вслед за рекламным ПО расположились черви7.99% по общим заражениям и 9.21% среди новых угроз. Наиболее активным семейством вредоносных модулей было признано семейство троянов-загрузчиков Downloader.MDW. "Самой зараженной страной" в 2007 году стала Мексика, здесь зараженные активными на момент сканирования модулями оказалось 26.39% машин от общего числа просканированных зараженных компьютеров. Второе и третье места соответственно заняли Тайвань (25.41%) и Франция (24.08%).

    Источник: www.tachlabs.ru

  20. #20
    Благородный B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе B|!zzard Разбег по полосе Аватар для B|!zzard
    Регистрация
    08.03.2006
    Адрес
    Россия, Иркутск
    Сообщений
    9,511
    Поблагодарил(а)
    580
    Получено благодарностей: 2,356 (сообщений: 1,521).

    По умолчанию

    Спамеры могут печатать рекламу на сетевых принтерах

    Нажмите на изображение для увеличения
Название: 15796300.jpg
Просмотров: 86
Размер:	4.9 Кб
ID:	131458

    Руководитель отдела компьютерной безопасности одной из пенсильванских компаний Эрон Вивер (Aaron Weaver) открыл способ, который благодаря малоизвестной функции заставлять принтер выводить на печать рекламу или любой другой материал практически через любой браузер. Теоретически раскрытая функция может делать более опасные вещи, например посылать факс или форматировать жесткий диск принтера. Вивер описал метод атаки на портале Ha.ckers.org и назвал его "межсайтовой печатью" по аналогии с атаками межсайтового скриптинга (CSS).

    Для осуществления несанкционированной печати пользователь может посетить как вредоносный, так и казалось бы безопасный сайт, уязвимый к атакам CSS. Хакер посылает браузеру код JavaScript , определяющий наличие принтера и запускающий процесс распечатывания. Вивер успешно опробовал уязвимость в Internet Explorer и Mozilla. Впрочем, рядовые пользователи могут быть спокойны за свои принтеры – метод Вивера действует только для сетевых принтеров, которые как правило используются лишь в компаниях. Атака возможна благодаря тому, что большинство браузеров способно подключиться к сетевому порту, используемому принтерами для поиска новых заданий.

    По словам владельца Ha.ckers.org и руководителя консалтинговой компании SecTheory Роберта Хансена (Robert Hansen), до сих пор случаев осуществления атак на принтеры зарегистрировано не было, хотя в будущем их нельзя исключить. Дело может принять совсем другой борот, если хакерам удастся заставить принтеры пересылать информацию о своей работе по Интернету. Исследователи безопасности уже продемонстрировали, что браузер способен "открывать ворота" для прослушки разговоров по VoIP или получения почты определенного пользователя. Разработчики браузеров были уведомлены о раскрытой возможности.

    При всем новшестве раскрытый метод нельзя назвать чрезмерно опасным для пользователя или эффективным для инициатора атаки, ведь финансовую выгоду, которая является сегодня главным стимулом для хакеров, извлечь из атаки принтера невозможно, а удаленная распечатка спама явно не скажется положительно на репутации рекламируемых товаров или услуг.

    Источник: www.tachlabs.ru

+ Ответить в теме
Страница 1 из 5 1 2 3 4 5 ПоследняяПоследняя

Информация о теме

Пользователи, просматривающие эту тему

Эту тему просматривают: 1 (пользователей: 0 , гостей: 1)

     

Похожие темы

  1. Новости Microsoft
    от nons в разделе Software
    Ответов: 78
    Последнее сообщение: 25.06.2021, 04:55
  2. Новости Software
    от B|!zzard в разделе Software
    Ответов: 54
    Последнее сообщение: 20.02.2015, 14:37
  3. Новости. Hardware
    от Vampir's в разделе Hardware
    Ответов: 585
    Последнее сообщение: 10.12.2013, 13:22
  4. Уровень научных знаний у школьников мира
    от Воланд в разделе Политика и Общество
    Ответов: 3
    Последнее сообщение: 19.11.2007, 10:41
  5. Чемпионат мира по хоккею с мячом 2007
    от Derby_Day в разделе ХОККЕЙ
    Ответов: 2
    Последнее сообщение: 18.09.2006, 19:01

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
Рейтинг@Mail.ru
Администрация сайта не выражает согласия
с высказыванием участников форума и не несет
ответственности за их содержание.

Копирование любого материала возможно только
при наличии ссылки на сайт.