Описания вирусов и троянов

[Rez[Z]zacheLLo]

Представляют собой архивы, специально оформленные таким образом, чтобы вызывать нештатное поведение архиваторов при попытке разархивировать данные — зависание или существенное замедление работы компьютера или заполнение диска большим количеством «пустых» данных. Особенно опасны «архивные бомбы» для файловых и почтовых серверов, если на сервере используется какая-либо система автоматической обработки входящей информации — «архивная бомба» может просто остановить работу сервера.

Встречаются три типа подобных «бомб»: некорректный заголовок архива, повторяющиеся данные и одинаковые файлы в архиве.

Некорректный заголовок архива или испорченные данные в архиве могут привести к сбою в работе конкретного архиватора или алгоритма разархивирования при разборе содержимого архива.

Значительных размеров файл, содержащий повторяющиеся данные, позволяет заархивировать такой файл в архив небольшого размера (например, 5ГБ данных упаковываются в 200КБ RAR или в 480КБ ZIP-архив).

Огромное количество одинаковых файлов в архиве также практически не сказывается на размере архива при использовании специальных методов (например, существуют приемы упаковки 10100 одинаковых файлов в 30КБ RAR или 230КБ ZIP-архив).

[Rez[Z]zacheLLo]

Данные троянцы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику.

Троянские программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских систем.

[Rez[Z]zacheLLo]

Семейство троянских программ, скрытно осуществляющих анонимный доступ к различным интернет-ресурсам. Обычно используются для рассылки спама.

[nons]

Представляют собой архивы, специально оформленные таким образом, чтобы вызывать нештатное поведение архиваторов при попытке разархивировать данные — зависание или существенное замедление работы компьютера или заполнение диска большим количеством «пустых» данных. Особенно опасны «архивные бомбы» для файловых и почтовых серверов, если на сервере используется какая-либо система автоматической обработки входящей информации — «архивная бомба» может просто остановить работу сервера.

Встречаются три типа подобных «бомб»: некорректный заголовок архива, повторяющиеся данные и одинаковые файлы в архиве.

Некорректный заголовок архива или испорченные данные в архиве могут привести к сбою в работе конкретного архиватора или алгоритма разархивирования при разборе содержимого архива.

Значительных размеров файл, содержащий повторяющиеся данные, позволяет заархивировать такой файл в архив небольшого размера (например, 5ГБ данных упаковываются в 200КБ RAR или в 480КБ ZIP-архив).

Огромное количество одинаковых файлов в архиве также практически не сказывается на размере архива при использовании специальных методов (например, существуют приемы упаковки 10100 одинаковых файлов в 30КБ RAR или 230КБ ZIP-архив).

баловался как то так....составлял специальный текстовый файл размером ~1Гб (состоящий из строки единиц) (состоявлял программно, вручную геморно)...потом пихал в архив, размер которго получался в несколкьо килобайт, и отправлял по мылу ....хых, весело потом кому то было распаковывать ;) :rolleyes:

[Arhangel57]

Если кто знает чё это за троян, ответьте пожалуйста.

[Воланд]

Если кто знает чё это за троян, ответьте пожалуйста.

Не троян это, а принадлежность с какой-то группе, которую определила твоя антивирусная прога.

[Oleg]

Подскажите глюк или как ???

[Воланд]

Не глюк. Просто потри прогу.

[Oleg]

Не глюк. Просто потри прогу.

Это как ???

[B|!zzard]

Trojan-Downloader.Win32. Small.ddp

Троянская программа-загрузчик. Является приложением Windows (PE EXE-файл). Написана на Microsoft Visual C++. Ничем не упакована. Размер зараженных файлов варьируется от 20 до 27 КБ.

Деструктивная активность

После запуска троянец извлекает из своего тела файл и записывает его в каталог C:\Windows под именем «inetloader.dll».

Созданная библиотека регистрируется в системе с помощью приложения «regsrv32.exe». Библиотека скачивает из Интернета файл http://soft.*****incash.com/loader/run.xml, в котором содержатся ссылки на другие файлы и пути для их сохранения. Далее троянец скачивает эти файлы.

На момент создания описания в файле «run.xml» были заданы ссылки на следующие файлы:
* http://soft.*****incash.com/contextual/ticads.exe —
детектируется антивирусом Касперского как Trojan-Downloader.Win32.Small.ddp;
* http://soft.*****incash.com/popups/tpopup.exe —
детектируется антивирусом Касперского как not-a-virus:AdWare.Win32.Trustin.a;
* http://soft.*****incash.com/se/tse.exe —
детектируется антивирусом Касперского как Trojan-Downloader.Win32.Small.ddp;
* http://soft.*****incash.com/tcleaner/tctool.exe —
детектируется антивирусом Касперского как Trojan-Downloader.Win32.WarSpy.d;
* http://soft.*****incash.com/toolbar/trustinbar.exe —
детектируется антивирусом Касперского как not-a-virus:AdWare.Win32.Azesearch.h;
* http://soft.*****incash.com/url/url.exe —
детектируется антивирусом Касперского как Trojan-Downloader.Win32.Small.ddp.

Скачанные файлы сохраняются в корневом каталоге Windows:
%windir%\ticads.exe
%windir%\tpopup.exe
%windir%\tse.exe
%windir%\tctool.exe
%windir%\trusnibar.exe
%windir%\url.exe


==================================================

Trojan-Downloader.VBS. Psyme.fc

Троянская программа-загрузчик, предназначенная для запуска на зараженной машине других троянцев. Использует уязвимость в Microsoft Internet Explorer. Реализована в виде HTML-страницы, при загрузке которой запускается на исполнение вредоносный код, написанный на языке Visual Basic Script.

Деструктивная активность

Троянец загружает из сети Интернет другой исполняемый файл, сохраняет его в корневой каталог Windows («%WinDir%») под случайно сгенерированным именем и запускает на исполнение. Также скачанный файл сохраняется во временный каталог Windows («%Temp%») под именем «update.exe» или «file.exe».

На момент создания описания вирус скачивал один из двух вредоносных объектов, детектирующихся Антивирусом Касперского как Trojan-PSW.Win32.LdPinch.btv и Trojan.Win32.Agent.oh.