+ Ответить в теме
Страница 1 из 8 1 2 3 4 5 ... ПоследняяПоследняя
Показано с 1 по 20 из 149

Тема: Новости мира Underground

  1. #1
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    Exclamation Новости мира Underground

    Обзор и обсуждение новых вирусов, троянов и тому подобных сетевых жителей

    Изменено на:

    Обзор и обсуждение новых вирусов, троянов и тому подобных сетевых жителей, а так же тех, кто создает эти программы и "гадит" с их помощью. Т.е. речь пойдет так же и о начинающих и продвинутых хакерах, которые сотворили в сети Интернет что-то не хорошее.

  2. #2
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    По умолчанию Trojan-Spy.HTML.Visafraud.a

    Другие названия
    Trojan-Spy.HTML.Visafraud.a (Лаборатория Касперского) также известен как: TrojanSpy.HTML.Visafraud.a (Лаборатория Касперского).
    Поведение Troyan-Spy, программа-шпион.
    Технические детали
    Троянская программа, использующая спуфинг-технологию. Реализована в виде поддельной HTML-страницы. Предназначена для кражи конфиденциальной информации клиентов платежной системы Visa.
    Рассылается по электронной почте под видом важного сообщения от Visa.

    В письме содержится ссылка, в которой использована Frame Spoof уязвимость в Internet Explorer.

    Попадая на сайт, пользователи вводят свои учетные данные, после чего они пересылаются злоумышленникам, и те могут получить полный доступ к управлению счетом пользователя.

    Уязвимость Frame Spoof присутствует в 5.x и 6.x версиях Microsoft Interner Explorer.

  3. #3
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    По умолчанию Trojan.Win32.Agent.ay

    Другие названия:
    Trojan.Win32.Agent.ay (Лаборатория Касперского) также известен как: Trojan.DownLoader.1518 (Doctor Web), Troj/Dloader-KL (Sophos), TROJ_AGENT.AAB (Trend Micro), Agent.F (Grisoft), Trojan.Agent.AY (SOFTWIN), Adware/Twain-Tech (Panda)

    Троянская программа, имеющая AdWare-функционал. При запуске копирует себя в %WINDIR%\System32 под случайным именем, а также регистрирует себя в системном реестре для автозагрузки. Имеет функцию обновления своих компонентов через Internet.
    Синхронизируется для своих нужд с NTP-серверами для получения точного времени.
    Следит за действиями пользователя, собирает различную информацию.

    Содержит текст:
    • callinghome.biz
    • startwatcher
    • OfferDrv-{F395B5B4-1837-4e79-AD7B-7287043E4DBC}

  4. #4
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    По умолчанию

    Trojan-Downloader.Win32.Vidlo.q
    Trojan-Downloader.Win32.Vidlo.q («Лаборатория Касперского») также известен как: Downloader-ACS (McAfee), Download.Trojan (Symantec), Trojan.DownLoader.3440 (Doctor Web), Troj/Vidlo-Q (Sophos), TROJ_DLOADER.RY (Trend Micro), TR/Dldr.Ldpinch.AK.2 (H+BEDV), Dropped:Trojan.PWS.Ldpinch.AK (SOFTWIN), Trojan.Downloader.Vidlo.q (ClamAV), Suspect File (Panda), Win32/TrojanDownloader.Vidlo.Q (Eset)
    Программа представляет собой Windows PE-EXE файл. Имеет размер около 5 КБ и более. Может быть упакована UPX, FSG или другими паковщиками. Размер распакованного файла — около 21 КБ или более в зависимости от программы-упаковщика.
    Данный троянец был разослан при помощи спам-рассылки.

    После запуска троянец копирует себя в корневой каталог Windows с именем Rechnung.pdf.exe:
    %Windir%\Rechnung.pdf.exe

    Затем регистрирует этот файл в ключе автозапуска системного реестра:
    [HKCU\Software\Microsoft\Windows\
    CurrentVersion\Run]
    "winldr"="%Windir%\Rechnung.pdf.exe"
    Троянская программа имеет функцию загрузки других троянцев из интернета и запуска их на компьютере пользователя.

  5. #5
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    По умолчанию

    Backdoor.Win32.Bifrose.d
    Backdoor.Win32.Bifrose.d («Лаборатория Касперского») также известен как: BackDoor-CKA.gen (McAfee), Backdoor.Bifrose (Symantec), BackDoor.Bifrost (Doctor Web), Troj/Bckdr-CER (Sophos), Backdoor:Win32/Bifrose.B (RAV), TROJ_HINOR.A (Trend Micro), TR/PSW.LdPinch.T (H+BEDV), BackDoor.Bifrose.D (Grisoft), Backdoor.Bifrose.D (SOFTWIN), Trojan.Bifro-11.A-srv (ClamAV), Bck/Bifrose.A (Panda), Win32/Bifrose.D (Eset)
    Троянская программа, предоставляющая злоумышленнику удалённый доступ к заражённой машине.

    Представляет собой Windows PE-EXE файл. Может быть упакована различными упаковщиками, поэтому размер зараженных файлов может незначительно варьироваться. Размер в пакованом виде — около 73 КБ, размер в распакованном виде может быть от 90 КБ и более.

    При инсталляции бекдор копирует себя в системный каталог Windows с именем system.exe:

    %System%\system.exe

    Затем регистрирует этот файл в ключах автозапуска системного реестра:

    [HKLM\Software\Microsoft\Windows\
    CurrentVersion\Run]
    [HKCU\Software\Microsoft\Windows\
    CurrentVersion\Run]
    "system"="%System%\system.exe"

    После чего бэкдор создает следующие ключи и записи в системном реестре:

    [HKLM\Software\Microsoft\Active Setup\Installed
    Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}
    "stubpath"="%System%\system.exe s"

    [HKCU\Software\Wget]
    [HKLM\Software\Wget]
    Также бэкдор создает файл с именем plugin1.dat в системном каталоге Windows:

    %System%\plugin1.dat

    Действия
    Backdoor.Win32.Bifrose.d открывает на зараженной машине TCP порт 1971 для предоставления злоумышленнику удалённого доступа к заражённой машине.

  6. #6
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    По умолчанию

    Trojan-PSW.Win32.LdPinch.rn
    Trojan-PSW.Win32.LdPinch.rn («Лаборатория Касперского») также известен как: Bloodhound.W32.EP (Symantec)
    Программа предназначена для кражи конфиденциальной информации пользователя. Является приложением Windows (PE EXE-файл), имеет размер около 17 КБ, упакована с помощью UPX.

    При инсталляции троянец копирует себя в системный каталог Windows с именем svc.exe:

    %System%\svc.exe
    Затем регистрирует этот файл в ключе автозапуска системного реестра:

    [HKCU\Software\Microsoft\Windows\
    CurrentVersion\Run]
    "System"="%System%\svc.exe"
    Троянец собирает сведения о системе, а также логины и пароли для различных сервисов и прикладных программ, в том числе AOL Instant Messenger и ICQ.

    Trojan-PSW.Win32.LdPinch.rn выгружает из системы различные межсетевые экраны и антивирусные программы

  7. #7
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    По умолчанию

    Backdoor.Win32.Landis.b
    Backdoor.Win32.Landis.b («Лаборатория Касперского») также известен как: W32/Generic.worm!p2p (McAfee), W32.Chod.D (Symantec), BackDoor.Generic.1066 (Doctor Web), Worm.Mytob.GH (ClamAV), Trj/Multidropper.ARF (Panda)
    Троянская программа, предоставляющая злоумышленнику удалённый доступ к заражённой машине. Управляется через IRC.

    Представляет собой Windows PE-EXE файл. Имеет размер около 113 КБ.

    При инсталляции бэкдор создает папку со случайным именем в системном каталоге Windows и копирует себя в эту папку с именем csrss.exe.

    Также в данной папке бекдор создает следующие файлы:
    %System%\drtusi\csrss.dat
    %System%\drtusi\csrss.ini
    После чего оригинальный запускаемый файл удаляется.

    Бекдор создает ссылку на себя в каталоге автозагрузки:
    %UserProfile%\Start Menu\Programs\Startup\csrss.lnk
    Затем регистрирует себя в ключах автозапуска системного реестра:
    [HKLM\Software\Microsoft\Windows\
    CurrentVersion\Run]
    [HKCU\Software\Microsoft\Windows\
    CurrentVersion\Run]
    "csrss"=" "

    Программа соединяется с различными серверами IRC и получает команды удалённого управления от «хозяина». Спектр доступных команд очень разнообразен и позволяет осуществлять полный контроль над системой, а также осуществлять атаки на другие компьютеры, скачивать файлы и т.д.

    Помимо этого бэкдор обладает следующей функциональностью:

    * распространение по команде злоумышленника по каналам MSN Messenger ссылки, призывающей пользователей скачать копию данного бекдора; при этом ссылка выглядит весьма безопасно: http://www.vbulettin.com/[removed], – очень похоже на адрес авторитетного журнала антивирусной индустрии Virus Bulletin, и может вызвать заблуждение пользователей;

    * загрузка и запуск на зараженном компьютере различных файлов;

    * удаление файлов;

    * остановка различных активных процесов;

    * перезагрузка компьютера;

    * проведение DoS-атак;

    * отсылка злоумышелннику подробной информации о системе, в том числе вводимых с клавиатуры паролей и другой секретной информации;

    * выполнение на зараженном компьютере различных команд;

    * закрузка своих обновлений;

    * прочеее.

    Бэкдор изменяет файл %System%\drivers\etc\hosts, дописывая в него нижеприведенный текст и, тем самым, блокируя обращения к данным сайтам:
    127.0.0.1 avp.com
    127.0.0.1 download.mcafee.com
    127.0.0.1 kaspersky.com
    127.0.0.1 zonelabs.com и т.д.
    Landis.b выгружает из системы процессы, содержащие в именах следующие строки:
    bbeagle.exe
    regedit.exe
    winsys.exe
    zapro.exe
    zlclient.exe и т.п.

  8. #8
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    По умолчанию Trojan-PSW.Win32.Lineage.ha

    Trojan-PSW.Win32.Lineage.ha («Лаборатория Касперского») также известен как: DR/Lineage.GY.1 (H+BEDV), Trojan.Spy.Lineage-10 (ClamAV)

    Программа, предназначенная для кражи конфиденциальной информации. Является приложением Windows (PE EXE-файл), имеет размер около 68 КБ, упакована ASPack. Размер распакованного файла около 81 КБ.

    При инсталляции троянец копирует себя в каталог %Program Files%, используя одно из следующих имен:%Program Files%\Internat.exe %Program Files%\rundll32.exe %Program Files%\svhost32.exe

    Затем регистрирует этот файл в ключе автозапуска системного реестра:[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"="%Program Files%\svhost32.exe"

    Также троянец создает следующий файл в системном каталоге Windows:

    %System%\T1dll.dll

    Действия

    Троянец собирает различную конфеденциальную информацию с зараженного компьютера (системные пароли, клавиатурный ввод, список запущенных процессов).

    Также Lineage.ha выгружает из системы процессы, содержащие в именах следующие строки:Eghost.exeIparmor.exeKavpfw.exeMailmon.exeR avmon.exe

  9. #9
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    По умолчанию Trojan-Downloader.Win32.Small.bdc

    Троянская программа, загружающая из интернета файлы без ведома пользователя. Является приложением Windows (PE EXE-файл), ничем не упакована. Имеет размер 3072 байта.

    При запуске троянец проверяет наличие соединения с Интенертом на зараженном компьютере. И в случае «успеха» скачивает с сервера u***ti.lycos.it/vx9 следующие файлы:

    * cback.exe — детектируется Антивирусом Касперского, как Backdoor.Win32.Small.gl

    * gaelicum.exe — детектируется Антивирусом Касперского, как Virus.Win32.Tenga.a

    Файлы сохраняются в папке троянца, запускаются на исполнение и прописываются в ключе автозапуска системного реестра:[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

  10. #10
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    По умолчанию Worm.Win32.Rahak.a

    Worm.Win32.Rahak.a («Лаборатория Касперского») также известен как: W32/RAHack (McAfee), W32.Rahack (Symantec), Win32.RAHack (Doctor Web), Troj/Agent-BQ (Sophos), Backdoor:Win32/Agent.GO (RAV), BKDR_RASBA.B (Trend Micro), TR/RAHack (H+BEDV), BackDoor.Agent.5.N (Grisoft), Backdoor.Agent.GO (SOFTWIN), W32/Rahack.B (Panda), Win32/Agent.GO (Eset)

    Червь представляет собой PE EXE-файл. Имеет размер от 69 КБ и более. Упакован FSG. Размер распакованного файла — около 194 КБ и более.

    После запуска червь копирует себя в системный каталог Windows со следующими именами:
    %System%\mscolsrv.exe
    %System%\svchsot.exe

    Червь может работать как обычное приложение и как сервис (под Windows NT/2K/XP) с именем MSCoolServ.

    Также в системном каталоге Windows червь создает следующие файлы:

    * %System%\server.dll (около 78 КБ) — детектируется Антивирусом Касперского, как Trojan-Dropper.Win32.Small.pu; * %System%\syshid.exe (около 5 КБ) — детектируется Антивирусом Касперского, как Worm.Win32.Rahak.a.

    Распространение по сети

    Червь распространяется по слабо защищенным сетевым ресурсам. Червь заражает компьютеры в глобальной сети, на которых установлена утилита удаленного управления Remote Administrator, позволяющая получить доступ к интерфейсу удаленного компьютера в режиме реального времени. Для своей работы RAdmin по умолчанию использует TCP порт 4899. Червь сканирует произвольные IP-адреса компьютеров, слабозащищенных паролем, с открытым TCP портом 4899.

    Действия

    На зараженном компьютере червь ищет файлы с расширениями htm и html и копирует себя в те же папки с теми же именами с расширением exe. Червь изменяет оригинальные htm и html файлы, дописывая в них код, запускающий вместо них копию вируса.

  11. #11
    Джедай nons Трогаюсь nons Трогаюсь nons Трогаюсь nons Трогаюсь nons Трогаюсь nons Трогаюсь nons Трогаюсь nons Трогаюсь nons Трогаюсь nons Трогаюсь nons Трогаюсь
    Регистрация
    22.01.2005
    Сообщений
    3,753
    Поблагодарил(а)
    419
    Получено благодарностей: 1,257 (сообщений: 528).

    По умолчанию

    W32.Zotob.A - червь, эксплуатирующий уязвимость в Microsoft Windows Plug and Play сервисе, описанную в бюллетене безопасности MS05-039. MS05-039.

    W32.Zotob.A не заражает компьютеры под управлением Windows 95/98/Me/NT4. Несмотря на это, они могут использоваться для заражения других уязвимых компьютеров.

    При запуске W32.Zotob.A выполняет следующие действия:

    1. Создает следующий флаг для того, чтобы только одна копия червя выполнялась на скомпрометированном компьютере: B-O-T-Z-O-R

    2. Копирует себя как %System%\botzor.exe.

    3. Добавляет значение:


    "WINDOWS SYSTEM" = "botzor.exe"

    в подключи реестра:


    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\Run
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
    CurrentVersion\RunServices

    4. Изменяет значение:


    "Start" = "4"

    в ключе реестра:


    HKEY_LOCAL_MACHINE\SYSTEM\
    CurrentControlSet\Services\SharedAccess

    чтобы отключить Shared Access сервис в Windows 2000/XP.

    5. Соединяется с IRC сервером на домене [http://]diabl0.turkcoders.net/[REMOVED] по 8080 TCP порту. Что дает удаленный неавторизованный доступ.

    6. Открывает FTP сервер по 33333 TCP порту .

    7. Генерирует случайный IP адрес из текущего IP адреса. Червь оставляет первые два октета IP адреса системы и изменяет случайным образом последние два октета. Например, если IP адрес системы 192.168.0.1, червь попытается заразить IP адреса, начиная с 192.168.x.x.

    8. Пытается распространиться на компьютеры со случайными IP адресами, открывая бекдор на 8888 TCP порту на удаленном компьютере. Червь пытается эксплуатировать уязвимость в Microsoft Windows Plug and Play сервисе, описанную в Microsoft Security Bulletin MS05-039.

    9. Копирует следующий файл в скомпрометированный компьютер и выполняет FTP скрипт, содержащийся в нем:

    %System%\2pac.txt

    10. Загружает и выполняет копию червя с предварительно созданного FTP сервера на зараженном компьютере:


    %System%\haha.exe

    11. Добавляет следующие записи в хост файл:

    .... Made By .... Greetz to good friend [REMOVED] in the next 24hours!!!

    127.0.0.1 www.symantec.com
    127.0.0.1 securityresponse.symantec.com
    127.0.0.1 symantec.com
    127.0.0.1 www.sophos.com
    127.0.0.1 sophos.com
    127.0.0.1 www.mcafee.com
    127.0.0.1 mcafee.com
    127.0.0.1 liveupdate.symantecliveupdate.com
    127.0.0.1 www.viruslist.com
    127.0.0.1 viruslist.com
    127.0.0.1 viruslist.com
    127.0.0.1 f-secure.com
    127.0.0.1 www.f-secure.com
    127.0.0.1 kaspersky.com
    127.0.0.1 kaspersky-labs.com
    127.0.0.1 www.avp.com
    127.0.0.1 www.kaspersky.com
    127.0.0.1 avp.com
    127.0.0.1 www.networkassociates.com
    127.0.0.1 networkassociates.com
    127.0.0.1 www.ca.com
    127.0.0.1 ca.com
    127.0.0.1 mast.mcafee.com
    127.0.0.1 my-etrust.com
    127.0.0.1 www.my-etrust.com
    127.0.0.1 download.mcafee.com
    127.0.0.1 dispatch.mcafee.com
    127.0.0.1 secure.nai.com
    127.0.0.1 nai.com
    127.0.0.1 www.nai.com
    127.0.0.1 update.symantec.com
    127.0.0.1 updates.symantec.com
    127.0.0.1 us.mcafee.com
    127.0.0.1 liveupdate.symantec.com
    127.0.0.1 customer.symantec.com
    127.0.0.1 rads.mcafee.com
    127.0.0.1 trendmicro.com
    127.0.0.1 pandasoftware.com
    127.0.0.1 www.pandasoftware.com
    127.0.0.1 www.trendmicro.com
    127.0.0.1 www.grisoft.com
    127.0.0.1 www.microsoft.com
    127.0.0.1 microsoft.com
    127.0.0.1 www.virustotal.com
    127.0.0.1 virustotal.com
    127.0.0.1 www.amazon.com
    127.0.0.1 www.amazon.co.uk
    127.0.0.1 www.amazon.ca
    127.0.0.1 www.amazon.fr
    127.0.0.1 www.paypal.com
    127.0.0.1 paypal.com
    127.0.0.1 moneybookers.com
    127.0.0.1 www.moneybookers.com
    127.0.0.1 www.ebay.com
    127.0.0.1 ebay.com

    Взято с СекЛаб
    Телевизор — это просто маленькое прозрачное окошко в трубе духовного мусоропровода. © В. Пелевин.

  12. #12
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    По умолчанию Backdoor.Mepcod

    Backdoor.Mepcod – это троянская программа, которая открывает бекдор и загружает файл, содержащий дополнительные команды.

    При запуске Backdoor.Mepcod выполняет следующие действия:

    1. Копирует себя как следующий файл:%Windir%\McAfeeScanPlus.exe.

    2. Просматривает следующий файл и открывает его вместе с mspaint.exe: %CurrentFolder%\me.bmp

    3. Создает следующий файл, в котором содержится информация используемая для регистрации учетной записи: %Windir%\winlogon9.log

    4. Добавляет значение:"McAfeeScanPlus" = %Windir%\McAfeeScanPlus.exe"

    в ключ реестра:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind ows\CurrentVersion\Run

    5. Добавляет значение: "%Windir%\McAfeeScanPlus.exe" = "%Windir%\McAfeeScanPlus.exe:*:Enabled:McAfeeScanP lus"

    в подключ реестра:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Se rvices\SharedAccess\Parameters\FirewallPolicy\Stan dardProfile\AuthorizedApplications\List

  13. #13
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    По умолчанию Trojan.Win32.KillAV.ek

    Trojan.Win32.KillAV.ek («Лаборатория Касперского») также известен как: Downloader-WD (McAfee), Trojan.KillAV (Symantec), Troj/KillAv-Z (Sophos), TrojanDownloader:Win32/Cartok.A (RAV), TROJ_KILLAV.BX (Trend Micro), TR/KillAV.EK (H+BEDV), Downloader.Small.30.AD (Grisoft), Trojan.KillAV.EK (SOFTWIN), Trj/KillAV.AK (Panda)

    Программа является приложением Windows (PE EXE-файл). Написана на языке Visual C++. Имеет размер 6656 байт, упакована Pec. Размер распакованного файла — около 9 KB.

    После запуска троянец копирует себя во временный каталог Windows с именем svchst.exe:%Temp%/svchst.exe

    Оригинальный запускаемый файл при этом удаляется.

    KillAV.ek выгружает из памяти процессы, имена которых попадают в следующий список:_AVP32.EXE_AVPCC.EXE_AVPM.EXEACKWIN32.EXEAL G.EXEANTI-TROJAN.EXE и т.д.

  14. #14
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    По умолчанию Email-Worm.Win32.Monikey.a

    Email-Worm.Win32.Monikey.a («Лаборатория Касперского») также известен как: PWS-Vipgsm.dll (McAfee), PWSteal.Trojan (Symantec), Trojan.Starter (Doctor Web), HTML.Bagle.BM-eml (ClamAV), Trj/Vipgsm.W (Panda)


    Вирус-червь, рассылающий по всем найденным на зараженном компьютере адресам электронной почты зараженные электронные письма. Зараженные письма содержат ссылку на Интернет сервера, на которых находятся копии червя. Также вирус распространяется через файлообменные сети.

    Червь представляет собой PE EXE-файл. Упакован UPX. Размер в пакованом виде - примерно 80 КБ, размер в распакованном виде - примерно 274 КБ.

    После запуска червь копирует себя с именем "mstcpmon.exe" в системный каталог Windows:

    %System%\mstcpmon.exe

    Также в системном каталоге Windows червь создает следующие файлы:

    %System%\chkdskw.exe%System%\itstore.dll%System%\k ernel32.dll%System%\mslogon.dll%System%\mswshell.d ll

    Характеристики зараженных писем

    Зараженные письма выглядят следующим образом:

    Отправитель:
    postcard service

    Тема письма:

    Открытка с POSTCARD.RU номер <произвольный номер>

    Текст письма:
    Содержит ложную ссылку на совершенно легальный сайт он-лайн открыток. Однако если пользователь открывает данную ссылку, то автоматически перенаправляется на сервер содержащий копию червя.

    Email-Worm.Win32.Monikey.a может изменять файл "%System%\drivers\etc\hosts" таким образом, чтобы заблокировать доступ к сайтам некоторых антивирусных компаний.

    Также червь имеет функциональность трояской программы – шпиона. Червь собирает различную конфеденциальную информацию с зараженного компьютера (системные пароли, клавиатурный ввод, список запущенных процессов). Полученная информация отсылается злоумышленнику по электронной почте.

  15. #15
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    По умолчанию Net-Worm.Win32.Nanspy.d

    Net-Worm.Win32.Nanspy.d («Лаборатория Касперского») также известен как: W32/Generic.Delphi.b (McAfee), W32.Kassbot (Symantec), Trojan.DownLoader.3636 (Doctor Web), W32/Nanpy-C (Sophos), WORM_NANPY.A (Trend Micro), Exploit.DCOM.Gen (ClamAV), Trj/Downloader.DAN (Panda)

    Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Червь представляет собой PE EXE-файл. Имеет размер около 34 КБ, упакован UPX. Размер распакованного файла около 103 KБ.

    Вирус распространяется, используя уязвимость Microsoft Windows DCOM RPС (MS03-026).
    После запуска червь копирует себя в системный каталог Windows с именем "mmsvc32.exe":

    %System%\mmsvc32.exe и регистрирует этот файл в ключе автозапуска системного реестра:

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]"Microsoft Network Services Controller" = "%System%\mmsvc32.exe"т.е. при каждой следующей загрузке Windows автоматически запустит файл червя.

    Распространение через интернет

    Червь запускает процедуры выбора IP-адресов для атаки и, в случае наличия на атакуемой машине уязвимости DCOM RPС, запускает на удаленной машине свой код.

    Действие

    Червь отслеживает все открытые окна Internet Explorer и в том случае, если в окне браузера просматривается определенный интернет сайт, собирает всю доступную конфеденциальную информацию с этого сайта (логины, пароли вводимые с клавиатуры) и сохраняет ее в создаваемый файл в системном каталоге Windows.

    Также червь имеет функцию загрузки своих обновлений с удаленного сервера в Интернете.

  16. #16
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    По умолчанию Net-Worm.Win32.Lebreat.m

    Net-Worm.Win32.Lebreat.m («Лаборатория Касперского») также известен как: Exploit-DcomRpc.gen (McAfee), W32.Reatle.I@mm (Symantec), Win32.HLLM.Breatle (Doctor Web), W32/Breatle.F@mm (FRISK), Win32.Worm.Lebreat.M (SOFTWIN), Worm.Lebreat.C-1 (ClamAV), W32/Lebreat.Q.worm (Panda), Win32/Lebreat.S (Eset)

    Сетевой вирус-червь, заражающий компьютеры под управлением операционной системы MS Windows. Является приложением Windows (PE EXE-файл), имеет размер 61291 байт.

    Червь распространяется, используя уязвимости Microsoft Windows Plug and Play Service Vulnerability (MS05-039) и Microsoft Windows LSASS (MS04-011).

    Также вирус распространяется через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты. Также червь распространяется через файлообменные сети.

    После запуска червь копирует себя в системный каталог Windows со следующими именами:%System%\winhost.exe%System%\winhost.tmp

    Затем червь регистрирует себя в ключе автозапуска системного реестра:[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "winhost"="%System%\winhost.exe"

    В корневом каталоге Windows червь создает текстовый файл с именем sgm32.dll:%Windir%\sgm32.dll Червь запускает процедуры выбора IP-адресов для атаки и, в случае наличия на атакуемой машине уязвимостей LSASS или Plug and Play, запускает на удаленной машине свой код.

    Характеристики зараженных писем

    Отправитель:

    Комбинируется по частям из имени и домена отправителя:

    Имя:

    Выбирается из списка: * root * webmaster

    Домен отправителя:

    Выбирается из списка: * @aol.com * @ca.com * @f-secure.com * @kaspersky.com * @mcafee.com * @microsoft.com * @msn.com * @sarc.com * @security.com * @securityfocus.com * @sophos.com * @symantec.com * @trendmicro.com * @yahoo.com

    Тема письма:

    Выбирается из списка: * Changes.. * Encrypted document * Fax Message * Forum notify * Incoming message * Notification * Protected message * Re: * Re: Document * Re: Hello * Re: Hi * Re: Incoming Message * Re: Incoming Msg * Re: Message Notify * Re: Msg reply * Re: Protected message * Re: Text message * Re: Thank you! * Re: Thanks * Re: Yahoo! * Site changes * Update

    Текст письма:

    Выбирается из списка: * Attach tells everything. * Attached file tells everything. * Check attached file for details. * Check attached file. * Here is the file. * Message is in attach * More info is in attach * Pay attention at the attach. * Please, have a look at the attached file. * Please, read the document. * Read the attach. * See attach. * See the attached file for details. * Try this. * Your document is attached. * Your file is attached.

    Имя файла-вложения:

    Выбирается из списка: * Details.doc [пробелы] .exe * Document.doc [пробелы] .exe * Info.doc [пробелы] .exe * Information.doc [пробелы] .exe * Message.doc [пробелы] .exe * MoreInfo.doc [пробелы] .exe * Readme.doc [пробелы] .exe * text_document.doc [пробелы] .exe * Updates.doc [пробелы] .exe

  17. #17
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    По умолчанию Troj/Taladra-F

    Troj/Taladra-F - бекдор троян для Windows платформ.

    При установке троян создает файл \ntsvc.ocx. Troj/Taladra-F - регистрирует новую системную службу "NTAuth", с именем "NTAuth" и автоматическим запуском, которая автоматически запускается при запуске системы. Также регистрирует ntsvc.ocx как COM объект, создавая следующие ключи реестра:

    HKCR\CLSID\(E7BC34A3-BA86-11CF-84B1-CBC2DA68BF6C)
    HKCR\Interface\(E7BC34A1-BA86-11CF-84B1-CBC2DA68BF6C)
    HKCR\Interface\(E7BC34A2-BA86-11CF-84B1-CBC2DA68BF6C)
    HKCR\NTService.Control.1\
    HKCR\TypeLib\(E7BC34A0-BA86-11CF-84B1-CBC2DA68BF6C)

  18. #18
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    По умолчанию W32/Tilebot-AE

    W32/Tilebot-AE - червь и IRC бекдор троян для Windows платформ.

    W32/Tilebot-AE для распостранения эксплуатирует уязвимости LSASS (MS04-011), RPC-DCOM (MS04-012), PNP (MS05-039) и ASN.1 (MS04-007).

    W32/Tilebot-AE обеспечивает функции удаленного управления, позволяя удаленному пользователю получить доступ и контролировать компьютер через IRC каналы.

    При первом запуске W32/Tilebot-AE копирует себя в \cmdpipe.exe и создает файл \rofl.sys.

    Файл cmdpipe.exe регистрируется как новая системная служба "Windows Smrss Service" с именем "Windows Smrss Service" и автоматическим запуском в следующем ключе реестра:

    HKLM\SYSTEM\CurrentControlSet\Services\Windows Smrss Service\

    Файл rofl.sys регистрируется как новая системная служба "rofl" в следующем ключе реестра:

    HKLM\SYSTEM\CurrentControlSet\Services\rofl\

    Также создаются следующие ключи реестра для автоматического запуска Трояна:

    HKLM\SYSTEM\CurrentControlSet\Services\Messenger
    Start
    4
    HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegis try
    Start
    4
    HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr
    Start
    4
    Registry entries are set as follows:
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUp date
    DoNotAllowXPSP2
    1
    HKLM\SOFTWARE\Microsoft\Ole
    EnableDCOM
    N
    HKLM\SYSTEM\CurrentControlSet\Control\Lsa
    restrictanonymous
    1

  19. #19
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    По умолчанию Win32.Oneraw

    Win32.Oneraw - семейство Троянов которые загружают и устанавливают произвольные программы на системе зараженного пользователя. Они также могут изменять настройки рабочего стола пользователя.

    Другие названия Трояна:

    Hoax.Win32.Renos.o (Kaspersky), Downloader-AFH (McAfee), Win32.Oneraw.J, W32/Adclicker.IW (F-Secure), Win32/Spywad.28160!Trojan, Hoax.Win32.Renos.m (Kaspersky), W32/FakeAlert.AM (F-Secure), Win32/SillyDl.24064!Trojan, Win32.Oneraw.G, Win32/Oneraw.E, Win32/Oneraw.C!Trojan, Win32.Oneraw.B, Trojan-Downloader.Win32.Agent.se (Kaspersky), Hoax.Win32.Renos.a (Kaspersky), Win32/Oneraw, Adclicker-BW (McAfee), Win32.Oneraw.A, Win32/Oneraw.A!Trojan, Adware-SpySheriff (McAfee), Trojan.Desktophijack (Symantec), Adware-SpySheriff.dldr (McAfee), Win32/Oneraw!generic, Win32.Oneraw.C, Win32/Oneraw.A, Win32/Oneraw.B, Win32.Oneraw.D, Hoax.Win32.Renos.c (Kaspersky), Hoax.Win32.Renos.d (Kaspersky), TROJ_SHERIFF.A (Trend), Win32.Oneraw.H, Win32/Oneraw.F!Trojan, Win32.Oneraw.F, Troj/Spyhoax-A (Sophos), TROJ_DLOADER.SQ (Trend), Win32/Oneraw.I!Trojan, Troj/Spywad-E (Sophos), Hoax.Win32.Renos.l (Kaspersky), Trojan-Clicker.Win32.Spywad.h (Kaspersky), Win32.Oneraw.I, Hoax.Win32.Renos.n (Kaspersky), TROJ_SPYWAD.I (Trend), Win32.Oneraw.K

    При запуске, некоторые варианты Oneraw вставляют иконку в системный трей и отображают сообщение, что система заражена шпионской программой.

    Некоторые варианты также создают копию трояна в "C:\winstall.exe" и устанавливают следующие значения реестра:


    HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Windows installer = "C:\winstall.exe"
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run \SNInstall =

    Oneraw загружают файлы из определенного сайта в %Application data%\install.dat. Этот файл содержит несколько исполняемых программ, звуковых файлов и файлов данных. Затем троян извлекает все эти файлы и записывает их в "C:\Program Files" каталог. Вариант Oneraw создает папку с именем "SpywareNo" или "SpySheriff". В папке могут содержаться один из следующих файлов:

    found.wav
    IESecurity.dll
    notfound.wav
    Procmon.dll
    removed.wav
    SpywareNo.dvm
    SpySheriff.dvm
    SpywareNo.exe
    SpywareNo_1.dat
    SpywareNo_2.dat
    Uninstall.exe

    Программа также записывает файл "desktop.html" в каталог %Windows% и изменяет ключи реестра, чтобы рабочий стол отображал этот HTML файл.

  20. #20
    Banned Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Vanda Включаюсь Аватар для Vanda
    Регистрация
    03.07.2005
    Адрес
    страна мухомория
    Сообщений
    743
    Поблагодарил(а)
    16
    Получено благодарностей: 51 (сообщений: 34).

    По умолчанию Troj/Proxyser

    Troj/Proxyser – троян с функциями загрузки, установки и запуска произвольных программ для Windows систем.Троян прописывается в следующие ключи реестра:

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run OnceW32PluginsDownloaderXMLHTTPSelfClearing7520<Sy stem>\wiper.exe <pathname of the Trojan executable>

    Также изменяются следующие ключи реестра, влияющие на безопасность в Интернете:

    HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\ FirewallPolicy\StandardProfileDisableNotifications
    1
    HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\ FirewallPolicy\StandardProfileDoNotAllowExceptions
    0
    HKLM\SYSTEM\CurrentControlSet\Services\SharedAcces s\Parameters\ FirewallPolicy\StandardProfileEnableFirewall
    0
    в
    HKLM\SOFTWARE\Microsoft\Security Center\

+ Ответить в теме
Страница 1 из 8 1 2 3 4 5 ... ПоследняяПоследняя

Информация о теме

Пользователи, просматривающие эту тему

Эту тему просматривают: 1 (пользователей: 0 , гостей: 1)

     

Похожие темы

  1. Новости Microsoft
    от nons в разделе Software
    Ответов: 78
    Последнее сообщение: 25.06.2021, 04:55
  2. Новости Software
    от B|!zzard в разделе Software
    Ответов: 54
    Последнее сообщение: 20.02.2015, 14:37
  3. Новости. Hardware
    от Vampir's в разделе Hardware
    Ответов: 585
    Последнее сообщение: 10.12.2013, 13:22
  4. Уровень научных знаний у школьников мира
    от Воланд в разделе Политика и Общество
    Ответов: 3
    Последнее сообщение: 19.11.2007, 10:41
  5. Чемпионат мира по хоккею с мячом 2007
    от Derby_Day в разделе ХОККЕЙ
    Ответов: 2
    Последнее сообщение: 18.09.2006, 19:01

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
Рейтинг@Mail.ru
Администрация сайта не выражает согласия
с высказыванием участников форума и не несет
ответственности за их содержание.

Копирование любого материала возможно только
при наличии ссылки на сайт.