http://img243.**************/img243/9619/logoqb7.gif (http://**************)


Новый почтовый червь распространяется под видом сообщений о начале ядерной войны

13 ноября 2006 г.

Служба вирусного мониторинга компании «Доктор Веб» сообщает о распространении нового почтового червя, получившего название по классификации Dr.Web – Win32.Dref. У других производителей червь получил название Email-Worm.Win32.Luder.a, Email-Worm.Win32.Glowa, Worm.Glowa. Червь появился в начале ноября, и на сегодняшний день число его модификаций перевалило за десяток.

В рассылаемых сообщениях червь сообщает о якобы начавшейся ядерной войне между Российской Федерацией и США, предлагая доверчивым пользователям ознакомиться в подробностями, которые они могут почерпнуть из приложенного к письму файла. Отдельные модификации Win32.Dref предлагают пользователям ознакомиться с подробностями смерти президентов упомянутых стран. Вложения представляют собой файлы с расширением *.exe (open.exe, truth.exe, war.exe, last.exe, about me.exe, a.exe, never.exe, latest news.exe, read me.exe).

Будучи запущенным неосторожным пользователем, червь заражает все исполняемые файлы, а также добавляет исполняемый файл во все найденные rar-архивы, создаёт свои копии с расширением *.t на сетевых ресурсах. Свою работу при последующем запуске системы обеспечивает оригинальным способом - зараженные файлы не содержат тело вируса, а только небольшой код, который запускает основное тело из другого файла. В результате работы червя заметно снижается производительность компьютера.

Компания «Доктор Веб» предупреждает пользователей не открывать письма, пришедшие от неизвестных адресатов и, тем более, не открывать вложения, прикреплённые к таким письмам.

Если вы подозреваете, что ваш компьютер оказался поражённым Win32.Dref, и у вас нет установленного антивируса, бесплатная утилита Dr.Web CureIt! поможет корректно вылечить исполняемые файлы. При этом следует обратить внимание на то, что для поиска инфицированных червем rar-архивов необходимо использовать дисковый сканер Dr.Web. Следует помнить, что Dr.Web не производит лечения инфицированных архивов, поэтому при обнаружении инфицированных червем rar-архивов удалять копию червя из архива придется вручную.

Новый компьютерный вирус-паразит

http://images.kaspersky.com/ru/vldesign/logo_bot.gif

В интернете появился новый вид вируса, который при попадании на компьютер пользователя первым делом излечивает его от других вредоносных программ. Для этого SpamThru загружает из интернета на компьютер пользователя библиотеки, необходимые для работы антивирусного модуля вируса. Сообщается, что при этом используются DLL Антивируса Касперского.

После того, как троян загрузил все необходимые файлы, в реестре прописывается ключ, необходимый для полноценной работы антивирусного модуля. Таким образом обеспечивается работоспособность программы, которая воспринимает модуль как лицензионную копию Антивируса Касперского, сообщает SecureWorks, компания, силами которой и был обнаружен и идентифицирован вирус SpamThru.

Спустя 10 минут после загрузки всего необходимого для собственной работы, вирус начинает сканирование системы, удаляя при этом все известные вирусы и другие вредоносные программы. При этом себя, кончено же, SpamThru не проверяет, и оставляет на компьютере для дальнейшей деятельности. После перезагрузки троян начинает ту работу, для которой он и был предназначен, так как теперь трафик, необходимый для его полноценной работы, свободен.

SpamThru, имеющий собственный спаммерский движок, загружает на зараженный компьютер файлы, содержащие всю необходимую для спама информацию – списки рассылок, случайные фразы и генератор обратных адресов. При этом для доставки шаблонов будущих спам-писем с координирующего сервера используется AES-шифрование, которое предотвращает использование шаблонов конкурентами.

После этого создается сообщение, содержащее картинку в формате GIF, которая имеет разные размеры в каждом письме, что серьезно затрудняет борьбу анти-спаммерских программ, и отправляется по назначению.

Так, что пользователи КАСПЕРЫЧА будьте осторожны)

Посетители FastMP3Search.com.ar рискуют "подцепить" вирус

http://img150.**************/img150/8583/snap2cn7.jpg

Администрация сайта StopBadware.org (посетитель этого сайта может узнать, что грозит его компьютеру при заражении каким-либо вредоносным кодом, и как защититься от подобной напасти) и специалисты Центра демократии и технологий (Center for Democracy and Technology, CDT) намерены подать в Федеральную торговую комиссию (FTC) США коллективную жалобу на сайт FastMP3Search.com.ar.

Антивирусные специалисты утверждают, что FastMP3Search.com.ar, позиционирующий себя как онлайновый поисковик музыки, распространяет вредоносное программное обеспечение. Посетителям сайта предлагается установить небольшой плагин, который якобы позволяет загружать найденные поисковиком MP3-файлы. На самом деле, "плагин" представляет собой набор вредоносного ПО, в котором нашлось место рекламному модулю и трояну. После загрузки софт отключает штатный брандмауэр Windows.

Один из основателей StopBadware Джон Полфри отметил, что за годы работы специалисты организации сталкивались с самыми разными видами вирусной активности, однако подобный наглый способ распространения вирусного ПО встречают впервые. Специалисты StopBadware попробовали скачать хотя бы один MP3-файл при помощи FastMP3Search.com.ar, однако попытки успехом не увенчались.

В настоящее время открыть главную страницу FastMP3Search.com.ar не удается - сайт недоступен. При попытке открыть главную страницу сайта через страницу поиска Google появляется сообщение, предупреждающее, что посещение сайта небезопасно.

Эксперты StopBadware, созданной при поддержке Sun Microsystems, Google и Lenovo, не смогли определить владельца сайта FastMP3Search.com.ar, однако выяснили, что сайт зарегистрирован в Аргентине. В StopBadware надеются, что это удастся сделать FTC, которая может обратиться за помощью к аргентинским властям, сообщает News.com.

обнавляйте свои антивирусные бызы каждый день, принудительно или настройте автоматически но на каждый день, пользуйте проверенные антивирусники и файрволлы, так как не только вирусы страшны, но и программы (официальные) в которых встроенны "шпионы" не уж то вам все равно, если прогмулина отсылает своим "хозяевам" где вы в сети, с кем вы в сети и все такое? Я сщитаю так: "Даешь свободное и не кем ни контролируемое передвежение в сети"!!!!!!! а то скоро мы вообще станем платить налоги за виртуальную собственность. Типа поиграл в онлайн-игру, накопил там средства, купил что нить, а тут вам налоговая "простите сэр, вот у вас виртуальная собственность есть, заплатите налог"

Для информации:
Вновь появился датошный вирус, который ничего не делает, акромя как посылает запрос на флоп, процессы в tascmgr.exe следующие: temp1, temp2, антивирями пока не определяется.
Если подцепили, то вот пилюлька.
В редакторе реестра /правка/найти\наберите run и тщательно отслеживайте все ключи, подозрительные удаляйте, но только не перестарайтесь

Вирус Warezov устроил эпидемию через ICQ

http://img150.**************/img150/8583/snap2cn7.jpg

Вчера многие рунетчики получили по ICQ от знакомых приглашение на странный сайт seruijingandeshijinpos.com. Лучше не нажимать эту ссылку: иначе ваш компьютер превратится в тыкву.

Вирусные сообщения по аське начинаются короткой фразой "check this" или "my picture" - уже здесь русскоязычные пользователи могут насторожиться, если сообщение пришло от соотечественника (с чего бы это ему вдруг говорить по-английски?). После английской фразы следует ссылка на один из файлов, находящихся на домене seruijingandeshijinpos.com.

Первые вирусные ICQ-рассылки такого рода регистрировались еще осенью. Однако вчера это уже напоминало эпидемию. В частности, главред "Вебпланеты" получил за час аж четыре таких сообщения c ICQ-адресов знакомых красивых девушек, и с трудом сдержал себя в руках.

Как выяснила китайская антивирусная группа C.I.S.R.T, по присланным адресам-ссылкам располагаются трояны семейства Warezov. Сами китайцы скачали версию Email-Worm.Win32.Warezov.et, но предупреждают, что там можно подцепить и другие версии этого червя. На зараженном компьютере вирус выполняет различные вредносные действия, включая кражу адресов и персональных данных. Он может блокировать работу антивирусов, а также загружать через Интернет и запускать другие вредоносные программы. Кроме того, червь еще и размножается, то есть рассылает себя друзьям зараженного пользователя.

Китайцы также сообщают, что с этим вирусом уже борется "Антивирус Касперского". Однако не советуем надеяться на это без оглядки. Дело в том, что семейство Warezov размножается и мутирует очень быстро, и еще осенью разнообразные версии этого червя вышли в лидеры среди прочих почтовых вредителей. Эксперты "Лаборатории Касперского" предполагают, что вирус создали россияне или жители какой-то другой из стран СНГ, где используется кириллица.

Но сейчас на сайте "Лаборатории Касперского" висит лишь старое ноябрьское сообщение о том, что в антивирусные базы добавлено свыше 30 новых образцов Warezov. Однако прошел уже месяц, и в комментариях к этому предупреждению Касперского уже пишут, что новые версии червя не боятся антивируса. Кроме того, даже если антивирус Касперского обнаружил Warezov, это еще не вылечит компьютер: вирусные файлы надо удалять вручную.

При этом в осеннем предупреждении Касперского говорится лишь об опасности со стороны электронной почты - а про вариант эпидемии через ICQ там ничего не сказано. Хотя на этот счет есть старый и простой метод: не кликать по подозрительным ссылкам. На элементарный встречный вопрос по ICQ ("а что это за ссылка?") данный вирус пока что не умеет отвечать.

Будьте осторожны!

Боюсь повторить соседей из раздела ICQ, но все таки считаю нужным.
Если Вас достал ICQ спам и прочая не нужная вам лабуда, то отключите в настройках: Общие/показывать мой онлайн-статус для web поиска.

Проверенно специально для пользователей и гостей форума NoWa.сс
Антивирус NOD32 вчерашнего обновления, база 1928(20061219) выносит предупреждения о подозрительном содержимом данного seruijingandeshijinpos.com.
домена.

Итак, буду здесь выкладывать ТОП самых распространных Вирусов, троянов и прочей нечести. Во избежание ФЛУДА, тему буду обновлять только Я
TOP 20 вредоносных программ на 20.12.2006

TOP 20 по количеству обнаружений за последние два дня
1 Trojan-Downloader.Win32.Small.dam
2 Email-Worm.Win32.Warezov.dn
3 IM-Worm.Win32.Qucan.h
4 Trojan-Downloader.Win32.Obfuscated.ba
5 Trojan-Downloader.Win32.Obfuscated.n
6 Trojan-Downloader.Win32.Small.cxx
7 IM-Worm.Win32.Qucan.n
8 Trojan-Downloader.Win32.Tiny.bm
9 Email-Worm.Win32.Warezov.fb
10 Trojan.Win32.Conycspa.i
11 Trojan-Downloader.Win32.Busky.gen
12 Trojan-Proxy.Win32.Small.bo
13 Trojan-Clicker.Win32.Agent.hz
14 Trojan.Win32.Agent.ws
15 Trojan-Downloader.Win32.Agent.bdb
16 Email-Worm.Win32.Bagle.gt
17 Trojan-Proxy.Win32.Agent.jw
18 Trojan-Downloader.Win32.Zlob.bfw
19 Trojan-Spy.Win32.Agent.pr
20 Trojan-Dropper.Win32.Agent.ol
TOP 20 по количеству обнаруженных модификаций за последние два дня
1 Trojan-Downloader.Win32.Small.dam
2 Trojan-Downloader.Win32.Busky.gen
3 Dialer.Win32.GBDialer.i
4 Trojan.Win32.DNSChanger.gi
5 Trojan.Win32.DNSChanger.hj
6 Trojan-Downloader.Win32.Small.ebj
7 Trojan-Downloader.Win32.Obfuscated.n
8 Trojan.Win32.DNSChanger.gp
9 Dialer.Win32.PluginAccess.s
10 Trojan-Dropper.Win32.Delf.aal
11 Trojan-Clicker.Win32.Small.kj
12 Trojan-Downloader.Win32.Tiny.bm
13 Trojan-Dropper.Win32.Delf.rc
14 Dialer.Win32.InstantAccess.af
15 Trojan.Win32.Agent.vg
16 AdvWare.Win32.Trymedia.b
17 Trojan-Downloader.Win32.Zlob.bfw
18 Trojan-Downloader.Win32.Tiny.et
19 Dialer.Win32.InstantAccess.ai
20 AdvWare.Win32.Casino.q
TOP 20 по количеству обнаружений за месяц
1 IM-Worm.Win32.Qucan.h
2 Trojan-Downloader.Win32.Small.dam
3 Email-Worm.Win32.Warezov.fb
4 Trojan-Downloader.Win32.Tiny.et
5 IM-Worm.Win32.Qucan.n
6 Email-Worm.Win32.Warezov.hb
7 IM-Worm.Win32.Qucan.a
8 Email-Worm.Win32.Banwarum.f
9 Trojan-Downloader.Win32.Busky.gen
10 Trojan-Downloader.Win32.Small.cxx
11 Trojan-Downloader.Win32.Tiny.bm
12 IM-Worm.Win32.Sohanad.e
13 Trojan-Downloader.Win32.Obfuscated.ba
14 Email-Worm.Win32.Warezov.dn
15 Email-Worm.Win32.Glowa.n
16 Trojan-Downloader.Win32.Tiny.bw
17 Trojan.Win32.Conycspa.i
18 Trojan-Clicker.Win32.Agent.hz
19 Trojan-Downloader.Win32.Obfuscated.n
20 Trojan-Proxy.Win32.Small.bo
За прошедшие два дня:
обнаружено вредоносных программ: 3275
уникальных разновидностей: 1013

Особенности и тенденции
За последнии сутки фиксируется повышенная активность почтового червя Email-Worm.Win32.Warezov после относительного затишья, которое длилось несколько дней.

Червь, угрожающий пользователям Skype, оказался трояном

http://img150.**************/img150/8583/snap2cn7.jpg

В понедельник, 18 декабря в блоге компании Websense Security Labs появилось предварительное уведомление о новой вредоносной программе, распространяющейся через популярную сеть IP-телефонии Skype.

Специалисты Websense отмечали, что червь способен инфицировать компьютеры пользователей Skype, общающихся в режиме чата. При этом сначала пользователю якобы приходит сообщение с предложением загрузить исполняемый файл с именем sp.exe. После запуска вредоносная программа, согласно уведомлению Websense, устанавливала на ПК троянский модуль, ворующий пароли, и затем активировала процедуры самораспространения. Эксперты Websense подчеркивали, что большинство инфицированных червем компьютеров находятся на территории Азиатско-Тихоокеанского региона, преимущественно, в Корее.

Однако в ходе более детального изучения кода программы было установлено, что она не способна размножаться самостоятельно и представляет собой обыкновенный троян. Кстати, специалисты F-Secure сразу после появления сообщений о вредоносном коде усомнились в том, что он разрабатывался специально в расчете на сеть Skype.

Не так давно компания Skype выпустила обновленные версии клиентских программ для операционных систем Windows и Windows Mobile. Кроме того, компания объявила, что со следующего года будет введена плата за звонки с компьютеров на мобильные и стационарные телефоны на территории Соединенных Штатов и Канады. В настоящее время сеть Skype насчитывает порядка 140 миллионов зарегистрированных пользователей. Ежедневно к службе присоединяются до 250 тысяч человек.

TOP 20 вредоносных программ на 24.12.2006

24.12.2006 TOP 20 по количеству обнаружений за последние два дня
1 Trojan-Downloader.Win32.Small.dam
2 Trojan-Downloader.Win32.Busky.gen
3 IM-Worm.Win32.Qucan.h
4 Trojan-Downloader.Win32.Zlob.bhw
5 IM-Worm.Win32.Qucan.n
6 Trojan.Win32.DNSChanger.hj
7 Trojan.Win32.Zapchast.cp
8 Trojan-Downloader.Win32.Tiny.et
9 Trojan.Win32.DNSChanger.gi
10 Trojan-Downloader.Win32.Obfuscated.bc
11 Trojan-Downloader.Win32.Zlob.bhk
12 Trojan-Downloader.Win32.Busky.r
13 Trojan-Downloader.Win32.Small.cib
14 Trojan-Downloader.Win32.Small.cxx
15 Trojan-Downloader.Win32.Zlob.bef
16 Trojan-Downloader.Win32.Zlob.bfi
17 Trojan-Downloader.Win32.Agent.bdb
18 Backdoor.Win32.Padodor.ax
19 Trojan-Downloader.Win32.Zlob.bfw
20 Trojan-Proxy.Win32.Dlena.bf

TOP 20 по количеству обнаруженных модификаций за последние два дня
1 Trojan-Downloader.Win32.Busky.gen
2 Trojan-Downloader.Win32.Small.dam
3 Trojan-Downloader.Win32.Tiny.et
4 Trojan.Win32.DNSChanger.gi
5 Trojan.Win32.DNSChanger.hj
6 Email-Worm.Win32.Scano.bf
7 Dialer.Win32.CapreDeam.p
8 Trojan.Win32.DNSChanger.gp
9 Trojan-Proxy.Win32.Lager.eq
10 Dialer.Win32.GBDialer.i
11 Dialer.Win32.Agent.ao
12 Trojan-Downloader.Win32.Small.edb
13 Trojan.Win32.Diamin.go
14 Dialer.Win32.InstantAccess.ai
15 Trojan-Downloader.Win32.Zlob.bhk
16 Dialer.Win32.InstantAccess.aj
17 Trojan-Dropper.Win32.Delf.aal
18 Trojan-Downloader.Win32.Zlob.axx
19 Trojan-Downloader.Win32.Zlob.bef
20 Trojan-Downloader.Win32.Zlob.sd

TOP 20 по количеству обнаружений за месяц
1 IM-Worm.Win32.Qucan.h
2 Trojan-Downloader.Win32.Small.dam
3 Email-Worm.Win32.Warezov.fb
4 Trojan-Downloader.Win32.Tiny.et
5 Email-Worm.Win32.Warezov.hb
6 IM-Worm.Win32.Qucan.a
7 Trojan-Downloader.Win32.Busky.gen
8 IM-Worm.Win32.Qucan.n
9 Trojan-Downloader.Win32.Small.cxx
10 IM-Worm.Win32.Sohanad.e
11 Trojan-Downloader.Win32.Tiny.bm
12 Trojan-Downloader.Win32.Obfuscated.ba
13 Email-Worm.Win32.Warezov.dn
14 Email-Worm.Win32.Banwarum.f
15 Email-Worm.Win32.Glowa.n
16 Trojan.Win32.Conycspa.i
17 Trojan-Clicker.Win32.Agent.hz
18 Trojan-Downloader.Win32.Obfuscated.n
19 Trojan-Proxy.Win32.Small.bo
20 Trojan-Downloader.Win32.Tiny.bw

За прошедшие два дня:
обнаружено вредоносных программ: 2422
уникальных разновидностей: 758

Продолжу тему!
Я думаю что нет смысла описывать Trojan-Downloader так как, почти все пользователи когда нибудь, да встречались с этим трояном... Все выще перечисленные модификации Trojan-Downloader уже давно детектются антивирусами Kaspersky, DrWEb, BiDefender, Avira. Насчет NOD'A 32 я не уверен, скорее всего детектются, но даже если нет, то эвристика нода должна с ними справитсья :)

Переходим дальше...

Описание трояна Qucan

Имя: Tr/Dldr.Qucan
Обнаружен: 02/10/2006
Вид: Троянская программа
В реальных условиях: Да
Отмеченные факты заражения: Низкий
Потенциал распространения: Низкий
Потенциал повреждений: От низкого до среднего
Файл статистики: Да
Размер файла: 9.216 байт.

Метод распространения:
• Нет собственной процедуры распространения


Псевдонимы (аliases):
• Kaspersky: IM-Worm.Win32.Qucan.a
• Eset: Win32/KillAV.NBD
• Bitdefender: Win32.Worm.IM.Sohanat.A

Ранее были обнаружены как:
• Worm/Qucan


Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003


Последствия:
• Отключение приложений безопасности
• Загружает вредоносные файлы
• Изменение реестра

Как видно, он уже детектится Kaspersky'м, Nod'oм и Bitdefender, Avir'ой и также должен детектится DrWeb!

Едем дальше...

Описание Zapchas

Имя: TR/Zapchas
Обнаружен: 17/11/2005
Вид: Троянская программа
В реальных условиях: Нет
Отмеченные факты заражения: Низкий
Потенциал распространения: Низкий
Потенциал повреждений: От низкого до среднего
Файл статистики: Да
Размер файла: 912.374 байт.

Общее
Метод распространения:
• Нет собственной процедуры распространения


Псевдонимы (аliases):
• F-Secure: Backdoor.IRC.Zapchast
• Sophos: Troj/Zapchas-CN
• Grisoft: IRC/BackDoor.Flood


Операционные системы:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003


Последствия:
• Создает файлы
• Создает вредоносные файлы
• Изменение реестра

Вирус точно детектится Avir'ой, BitDefender, Sophos, Kaspersky и DrWeb. Насколько известно, AVG и NOD находят не все модификации этого антивируса.

Next...

Троян Lager
Описание

Имя: TR/Lager
Обнаружен: 14/02/2006
Вид: Троянская программа
В реальных условиях: Нет
Отмеченные факты заражения: Низкий
Потенциал распространения: Низкий
Потенциал повреждений: От низкого до среднего
Файл статистики: Да
Размер файла: 48.164 байт.

Метод распространения:
• Нет собственной процедуры распространения


Псевдонимы (аliases):
• Kaspersky: Trojan-Proxy.Win32.Lager.ah
• TrendMicro: TROJ_GALAPOPER.T
• VirusBuster: virus Trojan.PR.Lager.Y
• Bitdefender: Trojan.Spy.Agent.CN


Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003


Последствия:
• Загружает вродоносный файл
• Создает файлы
• Изменение реестра

Как видно выше детектится Касперским, Bitdefedner и другими.
DrWEb должен детектить, Avira тоже и NOD, но не все модификации.

На сегодня все. =)


Если выше написано, что ваш антивирус находит этого зверя, то не будьте уверены на 100 % так, как каждый день появляются новые модификации вирусов... и 100% защити не существует!

TOP 20 вредоносных программ на 30.12.2006

30.12.2006

TOP 20 по количеству обнаружений за последние два дня
1 Trojan-Downloader.Win32.Small.dam
2 Trojan-Downloader.Win32.Tibs.jy
3 Trojan-Downloader.Win32.Small.edz
4 Trojan-Proxy.Win32.Small.bo
5 Dialer.Win32.GBDialer.i
6 Trojan-Downloader.Win32.Small.cxx
7 AdvWare.Win32.WebSearch.bf
8 Dialer.Win32.PluginAccess.s
9 Trojan-Downloader.Win32.Small.edn
10 IM-Worm.Win32.Qucan.n
11 Trojan-Downloader.Win32.Zlob.bed
12 AdvWare.Win32.PluginDL.a
13 Email-Worm.Win32.Bagle.gt
14 Trojan-Downloader.Win32.Zlob.biv
15 Trojan-Downloader.Win32.Agent.bdb
16 Trojan-Downloader.Win32.Zlob.biq
17 Trojan-Downloader.Win32.Zlob.bis
18 Trojan-Dropper.Win32.Agent.ol
19 Dialer.Win32.CapreDeam.p
20 Trojan-Downloader.Win32.Obfuscated.n

TOP 20 по количеству обнаруженных модификаций за последние два дня
1 Trojan-Downloader.Win32.Small.dam
2 Trojan-Downloader.Win32.Tibs.jy
3 Dialer.Win32.GBDialer.i
4 Dialer.Win32.PluginAccess.s
5 Dialer.Win32.CapreDeam.p
6 Dialer.Win32.Agent.ao
7 Trojan-Downloader.Win32.Obfuscated.n
8 Trojan.Win32.DNSChanger.hj
9 Trojan.Win32.Diamin.go
10 Dialer.Win32.EgroupDial.x
11 Trojan-Downloader.Win32.Adload.fk
12 Trojan-Proxy.Win32.Horst.te
13 Trojan-Downloader.Win32.Adload.fy
14 Trojan-Downloader.Win32.Small.awa
15 Trojan-Downloader.Win32.Zlob.bed
16 AdvWare.Win32.Trymedia.b
17 Trojan-Downloader.Win32.Zlob.biq
18 Trojan-Dropper.Win32.Agent.azn
19 Backdoor.Win32.Agent.fo
20 Backdoor.Win32.Tiny.t

TOP 20 по количеству обнаружений за месяц
1 Trojan-Downloader.Win32.Small.dam
2 IM-Worm.Win32.Qucan.h
3 Email-Worm.Win32.Warezov.fb
4 Trojan-Downloader.Win32.Tiny.et
5 Trojan-Downloader.Win32.Busky.gen
6 Trojan-Downloader.Win32.Small.cxx
7 IM-Worm.Win32.Qucan.n
8 Trojan-Downloader.Win32.Obfuscated.ba
9 Trojan-Downloader.Win32.Tiny.bm
10 Email-Worm.Win32.Warezov.dn
11 IM-Worm.Win32.Qucan.a
12 Trojan.Win32.Conycspa.i
13 Email-Worm.Win32.Warezov.hb
14 Trojan-Proxy.Win32.Small.bo
15 Trojan-Downloader.Win32.Small.edn
16 Trojan-Clicker.Win32.Agent.hz
17 Email-Worm.Win32.Glowa.n
18 Trojan-Downloader.Win32.Obfuscated.n
19 IM-Worm.Win32.Sohanad.e
20 Email-Worm.Win32.Banwarum.f

За прошедшие два дня:
обнаружено вредоносных программ: 2436
уникальных разновидностей: 995

Особенности:
Наблюдается всплеск активности Trojan-Downloader.Win32.Tibs.jy и Trojan-Downloader.Win32.Small.edz, они расылаются по электронной почте. Опасность подобных зловредов возрастает в связи с тем, что перед праздниками многие пользователи снижают бдительность и открывают файлы с именами типа "postcard.exe" или ""greeting card.exe", считая их поздравительными открытками.

Опасный троянец распространяется под видом новогодней открытки!

http://img150.**************/img150/8583/snap2cn7.jpg

Служба вирусного мониторинга компании «Доктор Веб» сообщает о появлении в Сети и массовом распространении посредством электронной почты вредоносной программы, получившей наименование по классификации Dr.Web Trojan.DownLoader.16958. Данная программа разослана с помощью массовой спам-рассылки под видом поздравления с Новым годом.
Технические подробности:

Тема: postcard
Тело письма:
Hi, you've just received a postcard.
For: <реальный адрес получателя>
From: ---
Text: Happy New Year!
Postcard:
Сlick on attachment to view a postcard
---
Pre-holidays Postcards.
http://postcards.wired2000.net/

Вложение представляет собой ZIP-архив, содержащий файл postcard.exe.

По данным Службы вирусного мониторинга компании «Доктор Веб», присутствие этой троянской программы обнаружено в примерно 54% зараженного почтового трафика русскоязычного сектора сети Интернет. Немного позднее было выпущено ещё два варианта этого троянца, получивших наименования Trojan.DownLoader.16984 и Trojan.DownLoader.16985. Данные троянцы, будучи запущенными на исполнение неосторожным пользователем, устанавливают на компьютер ставший уже печально известным почтовый червь массовой рассылки Win32.HLLM.Limar. Таким образом, можно констатировать тот факт, что авторы Win32.HLLM.Limar лишь сменили метод распространения своего «детища», в очередной раз делая ставку на «человеческий фактор» - интерес к подарку, который скрывается в красивой новогодней упаковке.


Хотелось бы отметить, что антивирус Dr.Web в очередной раз показал свой высокий класс в распознавании вредоносных программ – данные троянцы детектировались эвристическим анализатором (DLOADER.Trojan) ещё до внесения записей о них в вирусные базы.


Компания «Доктор Веб» призывает пользователей не открывать письма, пришедшие от неизвестных адресатов и, тем более, не открывать вложения, прикреплённые к таким письмам.

Email-Worm.Win32.Warezov

http://images.kaspersky.com/ru/vldesign/logo_bot.gif

16.01.2007 16:10, GMT +0300, Москва

Статус : информационный

«Лаборатория Касперского» сообщает о перехвате массовых рассылок новых версий Email-Worm.Win32.Warezov, начавшихся 15 января 2007 года.

Каждая новая рассылка содержит в себе новую версию этой вредоносной программы. Все варианты похожи друг на друга и распространяются в качестве вложений в зараженные электронные письма. После своего запуска, они пытаются остановить запущенные на компьютере антивирусы и межсетевые экраны и загрузить из интернета другие вредоносные программы.

Все последние перехваченные варианты были добавлены в антивирусные базы Антивируса Касперского.

Пользователям Антивируса Касперского 6.0 рекомендуется активизировать модуль проактивной защиты, способный детектировать новые версии Warezov без необходимости обновления антивирусных баз.

Более подробная информация о функционале новых версий этой вредоносной программы будет доступна в ближайшее время.

http://www.viruslist.com/ru/index.html

Опасный троянец маскируется под видеоролики о важнейших мировых событиях

http://img150.**************/img150/8583/snap2cn7.jpg

21 января 2007 года

Служба вирусного мониторинга компании «Доктор Веб» сообщает о довольно быстром увеличении присутствия в почтовом трафике спам-сообщений, несущих в качестве вложения троянскую программу Trojan.Spambot (по классификации Dr.Web). Данный троянец является фактически копией другой аналогичной вредоносной программы - BackDoor.Groan - с несколько измененнным упаковщиком. На 23-00 20 января письма, имеющие во вложении BackDoor.Groan, составляли 87% всего инфицированного почтового трафика.

Огромное количество экземпляров троянца в интернете объясняется массированными спам-рассылками, организованными по всему миру. При этом замысел его создателей весьма прост - привлечь внимание пользователей и вызвать их естественное любопытство броским заголовком, сообщающим о каком-либо весьма актуальном событии в мировой политике. Текст в сообщении при этом отсутствует, таким образом, пользователь, не искушенный в вопросах безопасности, сразу переходит к "основной теме" - то есть, запускает опасное вложение - исполняемый файл -одним щелчком мыши.

Будучи запущенным, программа сбрасывает в системный каталог Windows и устанавливает в системе драйвер (имя файла - wincom32.sys, соответствующая запись создается в системном реестре), который может в дальнейшем закачивать другие вредоносные программы, оставаясь при этом невидимым для менеджера задач.

Письма, которые приходят с вложением, содержащим данную разновидность троянца Trojan.Spambot, могут иметь следующие заголовки:
Russian missle shot down Chinese satellite
Russian missle shot down USA satellite
The Supreme Court has been attacked by terrorists. Sen. Mark Dayton dead!
Fidel Castro dead!

Имена исполняемых файлов, которые были зафиксированы Службой вирусного мониторинга «Доктор Веб» применительно к этим спам-рассылкам, были следующими:
Full video.exe
Full clip.exe
Full news.exe
Full story.exe
Video.exe

Специалисты компании «Доктор Веб» еще раз предостерегают всех пользователей от излишнего любопытства при получении писем с вложениями от неизвестных адресатов. В ближайшие дни вполне возможно нарастание присутствия в сети данной троянской программы вследствие продолжения спам-рассылок инфицированных сообщений, с различными вариациями заголовок писем, а также имен прилагаемых файлов.

Советы по защите от фишинга от PandaLabs

http://legal-soft.org/images/articles/PandaLabs.jpg

Антивирусная лаборатория PandaLabs опубликовала список советов для всех пользователей, которые совершают покупки через интернет и выполняют другие финансовые операции.


Кража банковских данных – фишинг – является одним из самых популярных нынче типов мошенничества. Как правило, кража данных происходит следующим образом: пользователь получает сообщение по электронной почте, которое содержит ссылку на специальный вредоносный сайт. Подобные сайты часто делают похожими на сайты настоящих банков, чтобы пользователи не догадались, что перед ними подделка.

Специалисты PandaLabs рекомендуют никогда не обращать внимания на сообщения, полученные якобы от банка, в которых запрашиваются какие-либо пароли, поскольку банк никогда не станет рассылать такие письма.

Когда вы находитесь на странице, где нужно ввести какие-либо данные, нужно проверить, действительно ли веб-страница, на которой вы находитесь, принадлежит банку, который вы хотите посетить. Домен страницы должен полностью совпадать с доменом банка. Кроме этого, соединение должно быть защищенным - в строке состояния браузера должен отобразиться небольшой закрытый замок, а веб-адрес должен начинаться с https://. Если остаются сомнения, убедитесь, что сертификат веб-страницы действителен, дважды щелкнув по замку.

Еще один способ убедиться в том, что вы установили безопасное соединение с реальным веб-сайтом компании: ручной набор полного веб-адрес банка в браузере. Не заходите на эту страницу, щелкая по ссылкам, они могут вести на мошеннические сайты.

Наконец, нужно периодически проверять банковскую статистику, чтобы убедиться в отсутствии каких-либо неверных транзакций с вашего счета. Если вы увидели в своей статистике какие-то непонятные операции, рекомендуем связаться с банком, через который были совершены транзакции, чтобы получить о них более подробную информацию.

Исследовательская лаборатория TrendLabs компании Trend Micro сообщает о черве WORM_ZHELATIN.CH, жертвой которого становятся пользователи крупных почтовых провайдеров, таких как AOL, Gmail, Yahoo!, Hotmail, EarthLink, Mail.Ru, а также популярных российских ресурсов Mail.Ru и Rambler.

WORM_ZHELATIN.CH – разновидность червя из семейства Zhelatin. Чаще всего червь появляется в системе из файла, прикрепленного к письму, иногда – загружается по ссылке из программ обмена мгновенными сообщениями.

Заражение компьютера происходит следующим образом: после приведения червя в действие в системе появляется троянская программа, которая в свою очередь запускает файл .DLL. Когда компьютер подсоединеняется к сети, этот файл регистрируется в качестве системного драйвера Layered Service Provider (LSP) и вписывается в Windows TCP или обработчик IP в качестве связующего звена в цепочке. С помощью этих действий WORM_ZHELATIN.CH перехватывает сетевой трафик и направляет пользователя на «нужный» веб-сайт. Кроме этого, данный червь загружает со специального сайта текст сообщений для рассылки по электронной почте.

Некоторое время назад уже появлялись сообщения о различных разновидностях семейства Zhelatin. Так, в начале февраля были массовые рассылки WORM_ZHELATIN.o. Тот червь заражал исполняемые exe-файлы и файлы экранных заставок (.scr), найденные в системе, и тоже распространялся в виде вложений.

Инструмент фильтрации интернет-адресов Trend Micro успешно блокирует зловредные ссылки, относящиеся к этому виду вредоносного ПО, однако специалисты TrendLabs рекомендуют пользователям настороженно относиться к письмам от неизвестных отправителей и не заходить по подозрительным ссылкам, даже если они получены от знакомых.

В феврале самыми активными вирусами в Интернете были Worm.Win32.NetSky.t и Worm.Win32.Bagle.gt, сообщает HiTech.Expert "Лаборатория Касперского".

Лидером стал вирус, занимавший в январе 4 место, Worm.Win32.NetSky.t, переместив январского лидера Worm.Win32.Bagle.gt на второе место. Они заняли 15,82% и 11,85% соответственно в общем объеме распространенных в феврале вирусных программ.

Аналитики отметили высокую активность нового семейства вредоносных программ Zhelatin в феврале, которая привела к большим изменениям в февральской двадцатке наиболее распространенных вредоносных программ. В частности, из 9 новичков рейтинга 6 представляют Zhelatin.

3-е место занял новый "червь" Worm.Win32.Zhelatin.dam с долей 8,19%, переместив Worm.Win32.NetSky.аа с долей 3,27% на 7 место. Занимавший 2 место в январе Worm.Win32.NetSky.q опустился на 4 место с долей 7,92%. 5 и 6 места заняли новые вирусы Worm.Win32.Zhelatin.o и Worm.Win32.Warezov.ls с долями в общем объеме распространенных в феврале вирусных программ 6,83% и 5,03% соответственно. Worm.Win32.Zhelatin.o переместил вирус Worm.Win32.Bagle.gеn на 19 место с долей 1,26%, а Worm.Win32.Warezov.ls вообще вытеснил из февральской двадцатки Win32.Small.dam.

Помимо большого количества новичков, аналитики также отметили вернувшихся из небытия в двадцатку лидеров Worm.Win32.Nyxem.e (15 место, доля - 1,66%), Worm.Win32.Scano.gen (14 место, доля - 1,83%) и Worm.Win32.NetSky.b (16 место, доля - 1,59%).

Также они отмечают значительный процент прочих вредоносных программ от общего числа перехваченных - 12,86%, что указывает на большое количество прочих "червей" и "троянских программ", относящихся к другим семействам.

В феврале программа Analog closk при синфронизации с сервером точного времени принесла червя Worm.Win32 поймать не удалось пришлось сносить систему Будьте осторожны у меня стоял Avast 4 7

Троян ShotOne становится причиной целого ряда проблем. С модификациями реестра Windows, этот троян может блокировать обновления Windows и доступ к пункту меню Файл в Internet Explorer или Windows Explorer. Кроме того, он прячет содержимое папок "Мои документы" и "Мой компьютер".

Среди других вредоносных действий данного трояна - отключение на панели задач меню, вызываемого правой кнопкой мыши, и кнопки "Пуск", скрытие значков в области уведомления и отключение опций "Запуск" и "Поиск" в меню "Пуск". Троян запускается вместе с загрузкой системы. При запуске он выбрасывает целую серию окон. Более того, троян перезагружает включенный компьютер, зараженный им, каждые три часа.

Троян Yabarasu, который запускается при загрузке системы. Yabarasu копирует себя в зараженную систему. Он прячет расширения всех файлов и всплывающие подсказки (информационные окна, которые появляются в Windows при наведении курсора на файл). Yabarasu также прячет папки на диске C, а вместо них размещает свои копии с идентичным названием и значком. При запуске подобного файла, пользователь фактически запускает трояна. И ShotOne, и Yabarasu попадают на компьютеры через электронную почту, файловые загрузки, зараженные запоминающие устройства и др.

На этой неделе PandaLabs зарегистрировала несколько вариантов червей семейства Rinbot: Rinbot.B, Rinbot.F, Rinbot.G и Rinbot.H. Эти черви распространяются копируя самих себя на съемные носители и сетевые ресурсы совместного пользования. Они также записывают свои копии на USB-устройства (MP3-плейеры, карты памяти, и т.п.), подключаемые к компьютеру. Некоторые из разновидностей используют для распространения уязвимости. Rinbot.B, например, пользуется уязвимостями LSASS и RPC DCOM. Недавно появились патчи для устранения этих брешей безопасности.

Rinbot.G использует брешь SQL Server и проходит идентификацию как пользователь. Как только червь попадает в компьютер, он через FTP загружает свою копию. А затем запускается в системе. Rinbot.H также использует для своего распространения уязвимость. Он ищет серверы с уязвимостью MS01-032, которую можно устранить с помощью одноименного патча от Microsoft. Черви семейства Rinbot предназначены для открытия порта в зараженном компьютере и установления подключения к серверу IRC. Благодаря этому, хакер может удаленно контролировать компьютер.

Кроме того, червь загружает из интернета трояна под названием Spammer.ZV, который начинает рассылать спам по всем адресам, найденным на зараженном компьютере. И, в конечном счете, он изменяет настройки безопасности и системные разрешения Internet Explorer, что снижает уровень безопасности компьютера. Интересной отличительной чертой кода Rinbot.B стало то, что в его состав входит запись, которая была сделана, по его утверждению, во время интервью CNN с создателями данного семейства червей, где последние объясняют причины, побудившие их к творению.

Expiro.А. поражает исполняемые файлы (.exe) в папке и подпапках Program Files. Свою копию он также оставляет в директории Windows. Когда пользователь запускает зараженный файл, вместе с ним запускается и вирус. Этот прием применяется для того, чтобы пользователи не заметили никаких видимых признаков инфицирования. Expiro.A завершает все свои процессы, если у него появляется подозрение, что компьютер сканируется с помощью решения безопасности. Несколько разделов данного вредоносного кода зашифрованы для того, чтобы его было сложнее обнаружить.

03.03.2007
Trojan.Win32.StartPage.anh

Видимые проявления: Подмена стартовой страницы на http://www.infocontainer.com

Троянская программа, размер исполняемого файла 14848 байт, исполняемый файл не сжат и не зашифрован. В случае запуска скрытно модифицирует стартовую страницу Internet Explorer путем записи в параметр "Start Page" ключа реестра Software\Microsoft\Internet Explorer\Main значения http://www.infocontainer.com. После выполнения данной операции троянская программа завершает работу
================================================== ======

28.03.2007
Trojan.Win32.Small.kt

Видимые проявления: Посторонняя библиотека swmclip.dll

Троянская библиотека, размер 4 кб, не сжата и не зашифрована, известна под именем swmclip.dll. В теле библиотеки видны текстовые константы «Передать WM», «с протекцией сделки» и номера кошельков злоумышленника.
В момент инициализации библиотека создает поток. Поток выполняет поиск окна с заголовком «Передать WM» и кнопкой внутри. В случае его обнаружения производится открытие буфера обмена и считывание содержащихся в нем данных. Если содержимое буфера обмена начинается с буквы R, Z или E, то в буфер обмена записывается номер R, Z или E кошелька злоумышленника. После этого поток приостанавливает свою работу на 60 мс, после чего процесс повторяется.
================================================== =======

07.05.2007
Trojan.Win32.VB.atg

Троянская программа, написана на Basic, исполняемый файл известен под именем tel.xls.exe. Иконка файла визуально очень похожа на иконку документа Excel, что в сочетании двойным расширением «xls» должно вводить пользователя в заблуждение. Файл не сжат и не зашифрован, размер 45 кб.
В случае запуска скрытно выполняет следующие действия:
1. Создает файлы WINDOWS\system32\SocksA.exe, WINDOWS\system32\FileKan.exe, WINDOWS\svchost.exe, WINDOWS\Session.exe. Эти файлы содержат копию трояна. Кроме того, создается файл WINDOWS\BACKINF.TAB, по структуре являющийся файлом AUTORUN.INF с содержимым вида:

[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe
shell\Auto\command=tel.xls.exe
shell=Auto

2. Регистрирует SocksA.exe в автозапуске через ключ Run реестра
3. Запускает файл WINDOWS\svchost.exe
4. Вызывает проводник – командная строка имеет вид «explorer C:\» , после чего завершает работу
5. Троянский процесс svchost.exe выполняет в цикле операцию 1 из вышеописанного алгоритма и создает в корне диска файлы tel.xls.exe (атрибуты «скрытый», «системный») и AUTORUN.INF (атрибуты «скрытый» и «системный»). Файл AUTORUN.INF ссылается на tel.xls.exe и применяется для автозапуска трояна. Данная операция повторяется с задержкой примерно 5 секунд и применяется в качестве меры защиты от удаления. Кроме того, в трояне предусмотрена модификация параметра CheckedValue ключа реестра SOFTWARE\Microsoft\ Windows\CurrentVersion\Explorer\ Advanced\Folder\Hidden\SHOWALL. По умолчанию это значение имеет тип REG_DWORD и значение 1. Троян содержит программный код для работы с базой UFSYSTEM.

Источник: Sophos.com (Sophos.com), cnews.ru (cnews.ru)

Troj/Proxy-HV

Признаки

При первом запуске копирует себя в системную директорию Windows под именем ntos.exe.

Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте системы:


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = "%System%\userinit.exe,%System%\ntos.exe"

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Загружает из интернета и выполняет другой вредоносный код;
Автоматически загружается после запуска Windows.
Открывает на компьютере "чёрный ход"

Тип:
Троян

Операционная система:
Windows

Уровень:
низкий

Softomate

Признаки

Устанавливается в директории %Program Files%\GameAbyss Toolbar\.

Копирует в указанную директорию следующие файлы:


basis.xml
demo_logo.bmp
error.html
gameabyssnet.dll
nav.bmp
options.html
toolbar.crc
version.txt



Файл gameabyssnet.dll регистрируется как COM-объект, плагин, панель инструментов (toolbar) и Вспомогательный объект браузера (Browser Helper Object) Microsoft Internet Explorer.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Работает с браузером Microsoft Internet Explorer: устанавливает панель (toolbar), модифицирует настройки, отображает всплывающие окна с рекламой, связывается с удалённым сервером.

Тип:
Adware

Операционная система:
Windows

Уровень:
низкий

W32/Rbot-GSD

Признаки

Распространяется, используя критические уязвимости, не требующие для эксплуатации вмешательства пользователя: LSASS (MS04-011), RPC-DCOM (MS04-012), WKS (MS03-049) (CAN-2003-0812), MSSQL (MS02-039) (CAN-2002-0649), RealCast.

Копирует себя на сетевые диски, защищённые слабыми паролями на запись.

Подключается к IRC-серверу, чей адрес записан в коде, и ожидает команд на одном из каналов.

При запуске копирует себя в системную директорию Windows под именем scrov.exe и создаёт в корневой директории файл a.bat.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Действие
Распространяется копированием себя на сетевые диски, в том числе - защищённые слабыми паролями на доступ, а также при помощи уязвимостей, не требующих для эксплуатации вмешательства пользователя.

Устанавливает связь с атакующим через канал IRC-сервера, может принимать и выполнять команды.

Тип:
Троян

Операционная система:
Windows

Уровень:
низкий

W32/Vanebot-AZ

Червь

Операционная система:
Windows

Уровень:
низкий

Признаки

При первом запуске копирует себя в системную директорию Windows (%System%) под именем lssas.exe (созвучно с существующим в системе файлом lsass.exe).

Записывает ссылку на себя в раздел реестра, отвечающий за автозапуск проиложений при старте системы:


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \"Local Security Authority Service" = "%System%\lssas.exe"

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Открывает на компьютере "чёрный ход", подключаясь к каналу на IRC-сервере; может выполнять команды атакующего, в частности, загружать и выполнять другой вредоносный код.

Trojan.Retvorp

Троян

Операционная система:
Windows

Уровень:
низкий

Размер:
168.964 байт

Признаки

При запуске создаёт файл %System%\drivers\mxdispdr.sys.

Извлекает из себя DLL-файл и сохраняет его как %System%\msplrct.dll; встраивает его загрузку в процесс winlogon.exe, модифицируя его.

Пытается завершить процессы:


httplook.exe
wireshark.exe
windump.exe
ehsniffer.exe
ethread.exe
netxray.exe
iris.exe
Пытается связаться с сайтами для загрузки и выполнения дополнительных файлов.
Сайты: www.provter.com и www.msthott.com.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Действие
Создаёт на диске библиотеку (DLL) и внедряет её в процесс winlogon.exe.
Пытается загружать из интернета другой вредоносный код.

W32.Atnas.A

Червь

Операционная система:
Windows

Уровень:
низкий

Размер:
188.390 байт

При запуске создаёт свои копии в системной директории Windows:

%Windir%\System32\snd32_win.exe
%Windir%\System32\winlib32.exe
%Windir%\System32\[СТРОКА_1][СТРОКА_2].exe



[СТРОКА_1] и [СТРОКА_2] выбираются случайным образом из следующего списка:


win
reg
hook
sp32
w32
lib
mic
dos
load
cbf
dll
service
_i38



Создаёт текстовый файл со списком активных процессов:


%Windir%\System32\whandle.dll



Создаёт файлы:


%Windir%\err.msg
%Windir%\System32\santas.bitch.txt



Пытается заменить .exe файлы, относящиеся к активным процессам, на свои копии: переименовывает .exe файл и создаёт файл с таким же именем и расширением, записывая туда себя.

Также пытается заменить на себя, с переименованием оригинала, следующие файлы:


regedit.exe
msconfig.exe
taskmgr.exe



То же самое пытается проделать с исполняемыми файлами, относящимися к приложениям файлообменных сетей, антивирусов и других программ:


emule.exe
avgnt.exe
preupd.exe
avcenter.exe
bootwarn.exe
cclmscan.exe
navapsvc.exe
navapw32.exe
navstub.exe
navw32.exe
navwnt.exe
opscan.exe
qconsole.exe
savscan.exe
mcdetect.exe
multiscan.exe
zlclient.exe
zatutor.exe
spybotsd.exe
teatimer.exe
blindman.exe
update.exe
limewire.exe
uninstall.exe



Создаёт на всех локальных дисках директорию Fuck_U_Man.

Записывает ссылку на себя в разделы реестра, отвечающие за автозагрузку приложений:


HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"Microsoft DLL Library" = "%Windir%\System32\winlib32.exe /reg"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"Windows Sound Emulator" = "%Windir%\System32\snd32_win.exe /snd"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"Graphics adapter service" = "%Windir%\System32\windll.exe /w"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"Santa Bastards Bitch" = "%Windir%\System32\SANTAS.BITCH.txt"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\"Microsoft DLL Library" = "%Windir%\System32\winlib32.exe /reg"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\"Windows Sound Emulator" = "%Windir%\System32\snd32_win.exe /snd"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\"Graphics adapter service" = "%Windir%\System32\windll.exe /w"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\"Santa Bastards Bitch" = "%Windir%\System32\SANTAS.BITCH.txt"



Создаёт множество своих копий в директориях совместного использования файлообменных сетей под следующими именами:


321 Studios GamesXCopy 1.0.8 Crack.exe
Ad-aware Pro Crack.exe
Adobe Acrobat Reader crack.exe
Adobe Golive v6.0 Keygen.exe
Adobe Illustrator v10.0 Time Limit Crack.exe
Adobe ImageReady v1.0 crack.exe
Adobe PageMaker v7.0 Keygen.exe
Adobe Photoshop 7 Crack.exe
Adobe Photoshop 7 Cracked.exe
Adobe Photoshop 7 Keygen.exe
Adobe Photoshop 7 Setup.exe
Adobe Photoshop 7.exe
Adobe Photoshop all.exe
Adobe Serial Generator v2.0.exe
Age of Empires II The Age of Kings NO CD crack.exe
Age Of Mythology - The Titans no cd crack.exe
Age Of Mythology no cd crack.exe
Aim Hacker.exe
Aim Password Cracker.exe
Alias Acclaim crack.exe
All Macromedia Products Keygen.exe
Anti-Trojan 4.0.exe
Aol Hacker.exe
Aol Password Cracker.exe
ArtMoney SE v7.05.exe
Artys Flash Ripper Cracked.exe
Avant Browser.exe
Backyard Baseball 2003 no cd crack.exe
Backyard Wrestling 2 - There Goes the Neighborhood Eidos Interactive rack.exe
Battlefield 1942 no cd crack.exe
Battlefield Vietnam EA Games crack.exe
Battlefield Vietnam Multiplayer Online Crack.exe
Besieger Strategy DreamCatcher Interactive crack.exe
Blinx 2 - Masters of Time & Space Microsoft crack.exe
Blitzkrieg - Burning Horizon Strategy CDV Software GmbH crack.exe
Britney Spears Dance Beat.exe
Call of Duty Activision crack.exe
Call Of Duty no cd crack.exe
Cheat Engine 5.0.exe
City of Heroes Role-Playing NCsoft crack.exe
Civilization III crack.exe
Classic NES Series - The Legend of Zelda GBA Role-Playing Nintendo crack.exe
CloneDVD v1.x crack.exe
Command & Conquer - Generals no cd crack.exe
Command & Conquer - Generals Zero Hour no cd crack.exe
Command & Conquer - Generals Zero Hour Strategy EA Games crack.exe
Counter-Strike Condition Zero Keygen.exe
Credit card generator.exe
Crusader Kings Strategy Paradox Entertainment crack.exe
Cubase Audio XT 3.X crack.exe
Dark Age Of Camelot - Trials Of Atlantis no cd crack.exe
Dark Matter - The Baryon Proj crack.exe
Deus Ex Invisible War NO CD Crack.exe
Diablo 2 NO CD crack.exe
DivX Player and Codec.exe
Doom 3 Activision crack.exe
DOOM 3 Crack.exe
DOOM 3 Hacks.exe
DOOM 3 Hackz.exe
Doom 3 NO CD Crack.exe
DOOM 3.exe
Download Accelerator Plus.exe
Dragon Ball Z - Budokai 3 Atari crack.exe
Dragon Ball Z - Supersonic Warriors GBA Atari crack.exe
Dragon Warrior VIII Role-Playing Square Enix crack.exe
DRIV3R Atari crack.exe
Dungeon Lords Role-Playing DreamCatcher Interactive crack.exe
Dungeon Siege no cd crack.exe
DVD Burner.exe
DVD Copy.exe
DVD Ripper Gold.exe
DVD Ripper.exe
Email Bomber.exe
Email Extractor.exe
Email Spider by Zim.exe
eMule 0.44b.exe
eMule.exe
Enter the Matrix Atari crack.exe
er and the Prisoner of Azkaban Adventure EA Games crack.exe
Harry Potter and the Sorcerers Stone no cd crack.exe
Heroes of Might & Magic IV no cd crack.exe
Hidden & Dangerous 2 NO CD Crack.exe
Hotmail Cracker.exe
Hotmail Hacker.exe
Icewind Dale 2 no cd crack.exe
ICQ 4.exe
ICQ Pro 2003b.exe
iMesh patch.exe
Irc Client.exe
J.Lo Bikini Screensaver.exe
Jedi Academy NO CD Crack.exe
Joint Operations - Typhoon Rising NovaLogic crack.exe
Juiced Acclaim crack.exe
Kingdom Hearts II Role-Playing Square Enix crack.exe
Knights Apprentice Memoricks Adventures Games crack.exe
lifefuxor.exe
Limewire Pro Crack.exe
LimeWire server scanner.exe
Macromedia ColdFusion MX crack.exe
Macromedia Contribute v2.0 crack.exe
Macromedia Director 8 Crack.exe
Macromedia Dreamweaver 4.0 Patch.exe
Macromedia Dreamweaver MX v6.0 crack.exe
Macromedia Dreamweaver UltraDev 4.0 Patch.exe
Macromedia Fireworks 4.0 Patch.exe
Macromedia Flash All Versions keygen.exe
Macromedia Flash MX v6.0 crack.exe
Macromedia Flash SWF-Unprotect v2.0.exe
Macromedia FreeHand v10 Loader.exe
Macromedia Keygen.exe
Madden NFL 2003 no cd crack.exe
Madden NFL 2005 EA crack.exe
Mafia no cd crack.exe
Malice Mud Duck Productions crack.exe
Mario Pinball Land GBA Puzzle Nintendo crack.exe
Mario Tennis GC Nintendo crack.exe
Mass Emailer.exe
Mass Mailer - by ceo.exe
Matrix Screensaver.exe
Max Payne 2 Fall Of Max Payne no cd crack.exe
Max Payne 2 NO CD Crack.exe
McFarlanes Evil Prophecy Konami crack.exe
Medal Of Honor - Allied Assault no cd crack.exe
Medal Of Honor - Allied Assault BreakThrough no cd crack.exe
Medal of Honor Pacific Assault EA Games crack.exe
Medieval - Total War no cd crack.exe
Mega Man Anniversary Collection GC Capcom crack.exe
Metal Gear Acid PSP Strategy Konami crack.exe
Metal Gear Solid 3 - Snake Eater Konami crack.exe
Microsoft Flight Simulator 2004 - A Century Of Flight no cd crack.exe
Microsoft Office 2000 Regmaker.exe
Microsoft Office XP Activation Crack.exe
Microsoft Office XP Activation Killer.exe
Microsoft Office XP Professional Crack.exe
Microsoft Office XP Professional Serial.exe
Microsoft Office XP Universal Activator v1.0.exe
Midnight Club 3 - DUB Edition Rockstar Games crack.exe
mirc 6.1x reg entries.exe
mIRC 6.X crack.exe
Morpheus patch.exe
MS Office XP Activation Crack.exe
MS Zoo Tycoon no cd crack.exe
MSN advert remover.exe
MSN Toolbar advert remover.exe
MVP Baseball 2004 EA crack.exe
NAV 2005 Crack.exe
NBA Live 2003 crack.exe
NBA Live 2004 crack.exe
NCAA Football 2005 EA crack.exe
Need For Speed 5 - no cd.exe
Need for Speed Hot Pursuit 2 CD KeyGenerator.exe
Need for speed underground - nocd.exe
Need for Speed Underground 2 crack.exe
Need for Speed Underground 2 Electronic Arts crack.exe
Need for Speed Underground 2 NO CD crack.exe
Need for Speed Underground NO CD crack.exe
Need for Speed4 - NOCD.exe
Nero Burning ROM v6.x crack.exe
Ninja Gaiden Tecmo crack.exe
Nortan Anti Virus 2005 Crack.exe
Nuker Pro 1.3.exe
Nuker.exe
Onimusha 3 - Demon Siege Adventure Capcom crack.exe
Play Games Online For FREE.exe
PortFUCK.exe
Portscanner by Jez.exe
Poser 5.exe
Poser 6 Crack.exe
Poser 6.exe
ProRat Gold.exe
PS2 Emulator by Zim.exe
PS2 Emulator.exe
PS2 Rom Extractor.exe
Psi-Ops - The Mindgate Conspiracy Midway crack.exe
Purge Jihad Freeform Interactive LLC crack.exe
Qauke.exe
Quake Arena Crack.exe
Quake Arena Keygen.exe
Quake Arena.exe
RealPlayer crack.exe
Red Dead Revolver Rockstar Games crack.exe
Resident Evil 4 GC Adventure Capcom crack.exe
Rise of Nations - Thrones & Patriots Strategy Microsoft crack.exe
RoboForm crack.exe
Roller Coaster Tycoon no cd crack.exe
Roxio Easy CD Creator 5 Crack.exe
Runescape Cracker.exe
Runescape Hacker Pro 3.1.exe
Runescape Hackz.exe
Runescape Money Hack.exe
RYL crack.exe
Second Life Role-Playing Linden Lab crack.exe
Shadow Ops - Red Mercury Atari crack.exe
ShellShock - Nam 67 Eidos Interactive crack.exe
Silent Storm - Sentinels Strategy _No Company crack.exe
Sim City 4 - Rush Hour no cd crack.exe
Sim City 4 Deluxe no cd crack.exe
Sim Theme Park World no cd crack.exe
Snood crack.exe
Snowblind Eidos Interactive crack.exe
Soldier of Fortune II- Double Helix no cd crack.exe
SolSuite 2004 - Solitaire Card Games Suite crack.exe
Sonic the Hedgehog 3 crack.exe
Spider-Man 2 Activision crack.exe
Spider-Man 2 GC Activision crack.exe
Sponge Bob Square Pants - Operation Krabby Patty no cd crack.exe
Spybot Search and Destroy.exe
Spyware Doctor Crack.exe
Star Wars - Jedi Knight - Jedi Academy no cd crack.exe
Star Wars - Knights of the Old Republic Role-Playing LucasArts crack.exe
Star Wars Galactic Battlegrounds- Clone Campaigns no cd crack.exe
Star Wars Jedi Knight II - Jedi Outcast no cd crack.exe
Starcraft - Battlechest no cd crack.exe
The Chronicles of Riddick - Escape From Butcher Bay VU Games crack.exe
The Legend of Zelda - Four Swords Adventures GC Nintendo crack.exe
The Legend of Zelda - The Minish Cap GBA Nintendo crack.exe
The Lord of the Rings The Return of The King crack.exe
The Matrix Online Crack.exe
The Matrix Online Cracked.exe
The Matrix Online.exe
The Sims no cd crack.exe
The Sims - Hot Date Expansion Pack no cd crack.exe
The Sims - Makin Magic Expansion Pack no cd crack.exe
The Sims - Superstar Expansion Pack no cd crack.exe
The Sims - Unleashed Expansion Pack no cd crack.exe
The Sims - Vacation Expansion Pack no cd crack.exe
The Sims 2 crack.exe
The Sims Deluxe no cd crack.exe
The Sims Double Deluxe no cd crack.exe
The Sims Game Crack.exe
The Suffering Encore Software Inc. crack.exe
The Suffering Midway crack.exe
Thief - Deadly Shadows Eidos Interactive crack.exe
Tiger Woods PGA Tour 2004 crack.exe
Tom Clancys Ghost Recon - Desert Siege no cd crack.exe
Tony Hawks Underground crack.exe
Trillian crasher.exe
TSearch (Undetectable).exe
Universal Game Crack.exe
Unreal Tournament 2003 no cd crack.exe
Vampire - The Masquerade - Bloodlines Role-Playing Activision crack.exe
Warcraft 3 Battle.net Crack.exe
Warcraft III - Reign Of Chaos no cd crack.exe
Warez P2P.exe
Webclaw 8 by Seven.exe
Webroot Spy Sweeper.exe
Website Hacker.exe
Website Nuker by Techo.exe
Win An Xbox.exe
Windows Hacker.exe
windows server 2003 crack.exe
Windows XP home edition Activation.exe
Winmx.exe
Winrar.exe
WinZip 9.0 Crack by Genta.exe
WinZip All Versions keygen.exe
Winzip keygen.exe
WinZip Self-Extractor v2.2 Patch.exe
WinZip v8.0 Keygen.exe
WinZip v8.x - v9.x patch.exe
WinZIP v9.0 Keygen.exe
Working Iso Burner.exe
World of Warcraft Role-Playing Blizzard Entertainment crack.exe
Worms Armageddon NO CD crack.exe
WWE Day of Reckoning GC THQ crack.exe
WWE SmackDown! vs. Raw THQ crack.exe
XBOX Emulator by zim.exe
XBOX Emulator.exe
XBOX Rom Extractor.exe
XBOX X-Fer Ripper and Transfer.exe
XXX PORN FREE!!!.exe
Yoshinoya Success crack.exe
ZoneAlarm crack.exe
Zoo Tycoon - Complete Collection no cd crack.exe
Zoo Tycoon no cd crack.exe
Zoo Tycoon- Dinosaur Digs no cd crack.exe



Проводит DoS-атаку при помощи ping против следующих сайтов:


www.flirtlife.de
www.fribad.de
www.muelhens.de
www.sir-foes.com
www10.flirtlife.de



Может попытаться удалить файлы в системной директории Windows (%Windir%\system32).

В определённые дни может попытаться отформатировать диск C.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Распространяется посредством копирования себя в файлообменные (P2P) сети; проводит атаки отказа в обслуживании (DoS).

W32/Akbot-AS

Червь

Операционная система:
Windows

Уровень:
низкий

Признаки

При старте копирует себя в системную директорию под именем sslms.exe.

Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте системы:


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \"WinDll (sslms.exe)" = "rundll32.exe %System%\sslms.exe,start"

Использует для распространения критические уязвимости Windows к переполнению буфера, не требующие вмешательства пользователя, в частности, MS04-007.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Распространяется посредством копирования себя на компьютеры, зараженные W32/Sasser, и эксплуатации уязвимостей в Windows, не требующих вмешательства пользователя.

Открывает на компьютере "чёрный ход"
Загружает и выполняет дополнительный код из интернета
Ослабляет настройки безопасности системы
Загружается при старте системы
Похищает информацию

W32.Himu.A@mm

Червь

Операционная система:
Windows

Уровень:
средний

Размер:
37.376 байт

При запуске отображает диалоговое окно:
Заголовок: Compressed (zipped) Folders Error
Сообщение: The Compressed (zipped) Folder is invalid or corrupted

Сохраняет свои копии как:

%UserProfile%\Start Menu\Programs\Startup\SERVIC3S.exe
%ProgramFiles%\WindowsUpdate\System Security\passwordlist.exe
%ProgramFiles%\WindowsUpdate\System Security\Updates.tmp\bangladesh.exe
%ProgramFiles%\WindowsUpdate\System Security\Updates.tmp\love.exe
%ProgramFiles%\WindowsUpdate\System Security\usernames.exe
D:\SystemVoliumeInfo\services.exe
D:\SystemVoliumeInfo\Mails\asdf45396ftADMIN.exe
D:\SystemVoliumeInfo\Mails\USERNAE485369KD5L.exe
D:\SystemVoliumeInfo\Mails\STATUSreport252.exe
D:\SystemVoliumeInfo\Mails\global_report.exe
D:\SystemVoliumeInfo\Mails\BBCandCNNreport.exe

Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"Microsoft Himu" = "D:\SystemVoliumeInfo\services.exe"

Пытается завершить следующие процессы:

avgctrl.exe
avgamsvr.exe
avgserv.exe
avgmsvr.exe
avgcc32.exe
avgcc.exe
avginet.exe
avgupsvc.exe
avgemc.exe
avgnt.exe
avgregcl.exe
Script
avgserv9.exe
avgw.exe
alogserv.exe
avsynmgr.exe
Mpfsheild.exe
MpfAgent.exe
mpf.exe
MpfConsole.exe
mcagent.exe
mcappins.exe
McDash.exe
mcdetect.exe
mcinfo.exe
mcmnhdlr.exe
mcshield.exe
mctskshd.exe
mcupdate.exe
mcvsescn.exe
mcvsshld.exe
mcvsftsn.exe
mcvsrte.exe
vstskmgr.exe
vsmain.exe
vshwin32.exe
pccpfw.exe
pccclient.exe
pcclient.exe
pccguide.exe
pccnt.exe
Name
pccntmon.exe
pccntupd.exe
PcCtlCom.exe
pcscan.exe
avpm.exe
avpcc.exe
kav.exe
kavmm.exe
kavsvc.exe
AVENGINE.EXE
remupd.exe
inicio.exe
prevsrv.exe
ALsvc.exe
ALMon.exe
SavService.exe
SWNETSUP.exe
ALUNotify.exe
ccApp.exe
nisserv.exe
NISUM.exe
Navapsvc.exe
NMain.exe
Navapw32.exe
VetMsg.exe
VetTray.exe
Vet32.exe
VetNT.exe
vsmon.exe
zlclient.exe
zapro.exe
zonealarm.exe

Отключает доступ к сайтам компаний ИТ-безопасности, включая службы обновлений защитного ПО (перенаправляет их имена на локальный IP):

www.symantec.com 127.0.0.1
www.sophos.com 127.0.0.1
www.avast.com 127.0.0.1
www.mcafee.com 127.0.0.1
www.f-prot.com 127.0.0.1
www.f-secure.com 127.0.0.1
www.avp.com 127.0.0.1
www.kaspersky.com 127.0.0.1
www.trendmicro.com 127.0.0.1
www.bitdefender.com 127.0.0.1
www.my-etrust.com 127.0.0.1
www.norman.com 127.0.0.1
www.grisoft.com 127.0.0.1
www.pandasecurity.com 127.0.0.1

Пытается ограничить доступ пользователя Windows Explorer к определённым приложениям. Для этого устанавливает следующие значения ключей реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer\"RestrictRun" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer\"RestrictRun1" = "msconfig.exe"

Создаёт следующий ключ реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Razaker.
Предположительно, использует его для пометки системы как уже зараженной.

Пытается через реестр отключить защиту McAfee Security:

HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\notify\Global\"{e9d2660c-c448-4ec6-a193-b2f87f3e212f}" = "45 6D 61 69 6C 53 63 61 6E 3A"
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\notify\Global\{B86251C4-A3DD-43fe-8970-6E564B3797EE}" = "56 53 4F 3A"
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\VSO\"AutoClean" = "04 00 00 00 03 00 00 00 90 13 86 90 FB DA 42 46 33 13 85 66 20 E7 3B F5 33 04 04 04"
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\EmailScan\"Enable" = "04 00 00 00 03 00 00 00 BC 2A 89 9A DF 50 32 ED 55 26 3F 04 E7 E3 39 27 04 04 04 04"
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\EmailScan\"SMTPStatus" = "04 00 00 00 03 00 00 00 BC 2A 89 9A DF 50 32 ED 55 26 3F 04 E7 E3 39 27 04 04 04 04"
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\WS\"Enable" = "04 00 00 00 03 00 00 00 BC 2A 89 9A DF 50 32 ED 55 26 3F 04 E7 E3 39 27 04 04 04 04"
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\WS\"Pattern" = "04 00 00 00 03 00 00 00 BC 2A 89 9A DF 50 32 ED 55 26 3F 04 E7 E3 39 27 04 04 04 04"
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\WS\"MaxRcpt" = "04 00 00 00 03 00 00 00 D2 74 D6 56 F5 90 23 CC 55 6E 34 3D 4B 16 80 63 2C 04 04 04"
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\WS\"MinTimeLimit" = "04 00 00 00 03 00 00 00 02 82 11 59 B6 C6 81 AD 4A 6C AD A6 9E A4 4E 09 01 1A 04 04"
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\ScriptStopper\"Enable" = "04 00 00 00 03 00 00 00 BC 2A 89 9A DF 50 32 ED 55 26 3F 04 E7 E3 39 27 04 04 04 04"
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\FT\"Enable" = "04 00 00 00 03 00 00 00 BC 2A 89 9A DF 50 32 ED 55 26 3F 04 E7 E3 39 27 04 04 04 04"
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\ActiveShield\"VirusMapPostPermit" = 04 00 00 00 03 00 00 00 BC 2A 89 9A DF 50 32 ED 55 26 3F 04 E7 E3 39 27 04 04 04 04
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\Quarantine\"QuarantinePath" = "9E 00 00 00 08 00 00 00 AD 03 D5 AA 38 58 56 A9 64 CE 6C 6C E1 8D 38 59 D6 9E A4 9E C2 9E DA 9E F1 9E FD 9E EB 9E F3 9E FB 9E F0 9E EA 9E ED 9E BE 9E FF 9E F0 9E FA 9E BE 9E CD 9E FB 9E EA 9E EA 9E F7 9E F0 9E F9 9E ED 9E C2 9E DF 9E F2 9E F2 9E BE 9E CB 9E ED 9E FB 9E EC 9E ED 9E C2 9E DF 9E EE 9E EE 9E F2 9E F7 9E FD 9E FF 9E EA 9E F7 9E F1 9E F0 9E BE 9E DA 9E FF 9E EA 9E FF 9E C2 9E D3 9E FD 9E DF 9E F8 9E FB 9E FB 9E B0 9E FD 9E F1 9E F3 9E C2 9E C8 9E CD 9E D1 9E C2 9E CF 9E EB 9E FF 9E EC 9E FF 9E F0 9E EA 9E F7 9E F0 9E FB 9E 9E 9E"

Пытается отключить Windows Security Centre и ослабить настройки безопасности, через реестр:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"AntiVirusDisableNotify" = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"AntiVirusOverride" = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"FirewallDisableNotify" = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"FirewallOverride" = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"UpdatesDisableNotify" = "00000000"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Ls a\"limitblankpassworduse" = "0x00000000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Lsa\"limitblankpassworduse" = "0x00000000"

Пытается отключить функцию блокирования сценариев в Norton Anti-Virus (NAV Script Blocking).

Добавляет ссылки в "Избранное" Microsoft Internet Explorer:

%SYSTEMROOT%\Documents and Settings\All Users\Favorites\ABOUT_BANGLADESH.url - "http://ourbangla.com"
%SYSTEMROOT%\Documents and Settings\All Users\Favorites\I_HATE_RAZAKER.url - "http://muktijuddha.com"
%SYSTEMROOT%\Documents and Settings\All Users\Favorites\VISIT_BANGLADESH.url - "http://www.parjatan.org"

Копирует себя в корневые директории всех подключенных сетевых дисков от C до Z под именами:

New Compressed (zipped) Folder.exe
kills.bat
format.bat

Также может копировать себя на совместно используемые диски под одним из имён:

Aupee Karim Pics.exe
download.exe
List of the musick.exe
LoveStory.exe
Lyrics Of Papercut.exe
MusicList.exe
readme2006.exe
window shopper.exe

Открывает в системе один или несколько доступных из сети ресурсов, связанных с директорией %PROGRAMFILES%\WindowsUpdate. Название выбирает из "Remote Service", "Himu" или "ADMIN$".

Создаёт и запускает файл D:\SystemVoliumeInfo\rab.bat, который проводит DoS-атаку сайта "http://www.rab.gov.bd" при помощи бесконечной команды ping.

Собирает на дисках адреса электронной почты. Ищет их по строке "mailto:" в файлах с расширениями:


htt
htm
hta
shtml
stm
asp
xml
doc
rtf
dbx
php
php3
phtml
jsp
sql
eml
ini
tbb
tbi

Рассылает себя по найденным адресам.
Характеристика писем:

Адрес отправителя выбирается из списка:

[email protected]
[email protected]
[email protected]
[email protected]
[email protected]



Текст сообщения:
To whom it may concern, We at www.rab.gov.bd are just warning all the online users to watch out for suspicious activities. If you would like to know more about how to report another new violence then please send a mail to us. Thank you for your time.

Тема выбирается из следующих:


Reminder to be aware of TERRORISM
Don't be another victim..!!
RAPID ACTION BATALION
HELP US FOR REMOVE THE TERRORISM

Имя вложения выбирается их следующих:

asdf45396ftADMIN.exe
USERNAE485369KD5L.exe
STATUSreport252.exe
global_report.exe
BBCandCNNreport.exe

Защита

Отключить функцию "Восстановление системы" (для Windows ME и XP)
Удалить из файла hosts записи, сделанные червём
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Распространяется посредством массовой рассылки своих копий по электронной почте, а также копированием на сетевые и совместно используемые диски.

Пытается отключить защитные приложения и заблокировать доступ к некоторым сайтам.

Источник: Symantec.com

W32/Baysur-B

Червь

Операционная система:
Windows

Уровень:
низкий

Признаки

Копирует себя на съёмные и сетевые диски, выбирая в качестве имени имя одной из существующих директорий или файлов, и добавляет расширение SCR (исполняемый файл скринсейвера).

При первом запуске создаёт файл %Windows%\Thumbs[некоторое_число_пробелов].db. Это невредоносный файл, содержащий библиотеку времени выполнения Microsoft Visual Basic.

Защита

Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Распространяется посредством копирования себя на съёмные и сетевые диски.
Запускается автоматически после каждого старта Windows.

Troj/Prorat-DK

Троян

Операционная система:
Windows

Уровень:
низкий

Признаки

При первом запуске копирует себя в директорию Windows под именем services.exe, а также в системную директорию (%System%) под именами sservice.exe и fservice.exe.

Создаёт следующие файлы:


%Windows%\ktd32.atm (может быть безопасно удалён)
%System%\wininv.dll (определяется как Troj/Prorat-DK)
%System%\winkey.dll (определяется как Troj/Prorat-DK)



Записывает ссылки на себя в разделы реестра, отвечающие за автозагрузку приложений после запуска Windows:


HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y}\StubPath = %System%\sservice.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run\DirectX For MicrosoftR Windows = %System%\fservice.exe.



Для обеспечения автозагрузки также модифицирует следующую запись в реестре (дописывает себя в качестве параметра запуска к Explorer.exe):


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe %System%\fservice.exe"



Создаёт записи в реестре в разделах:


HKCU\Software\Microsoft DirectX\WinSettings
HKCR\.key



Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Открывает на компьютере "чёрный ход", позволяющий атакующему получить полный контроль над системой; отправляет оповещение атакующему об установке в систему.
Запускается при каждой загрузке Windows.

Troj/Riler-Y

Троян

Операционная система:
Windows

Уровень:
низкий

Признаки

При первом запуске создаёт файлы в системной директории Windows:

toonjoke.dll - определяется как Troj/Riler-Gen
feelcat.ini - служебный файл трояна, может быть безопасно удалён

Toonjoke.dll устанавливает себя в начало цепочки обработчиков сетевого трафика (WSC) Windows Sockets 2 и таким образом может перехватывать трафик.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Перехватывает сетевой трафик.
Может загружать из интернета и выполнять другой вредоносный код.

W32/Sdbot-DGJ

Признаки

При первом запуске копирует себя в директорию Windows под именем nzbd.exe, а также в "Program Files\KaZaA\My Shared Folder\" под именем, совпадающим с именем одного из исполняемых (exe) файлов, найденных в директории.

Файл nzbd.exe регистрируется как новый системный драйвер сервиса "Windows NZDB Service", имеющего такое же отображаемое имя и тип запуска "автоматический". Записи в реестре создаются в разделе:


HKLM\SYSTEM\CurrentControlSet\Services\Windows NZDB Service



Через реестр отключает доступ к Диспетчеру задач и Редактору реестра:


HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableTaskMgr=1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableRegistryTools=1



Отключает в реестре автозапуск ряда приложений (Messenger, Удалённый реестр и Telnet):


HKLM\SYSTEM\CurrentControlSet\Services\Messenger\S tart=4
HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegis try\Start=4
HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr\Sta rt=4



Отключает контроль целостности системных файлов (SFC) и брандмауэр Windows, запрещает установку SP2 для XP:


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCScan=0
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\D omainProfile\EnableFirewall=0
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\S tandardProfile\EnableFirewall=0
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUp date\DoNotAllowXPSP2=1
HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM=N
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCDisable=ffffff9d



Модифицирует значение ключа HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell, дописывая себя в качестве параметра к Explorer.exe. Это обеспечивает автоматический запуск при старте графической оболочки Windows.


Explorer.exe %WINDIR%\nzbd.exe



Создаёт в реестре ключи в следующих разделах:


HKLM\SOFTWARE\Microsoft\Security Center
HKLM\SOFTWARE\Symantec\LiveUpdate Admin



Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Найти и удалить сервис, созданный вредоносной программой.
Действие
Устанавливается как сервис; открывает в системе "чёрный ход"; связывается с атакующим через веб-сайты.

W32/Poebot-MN

Червь

Признаки

При запуске копирует себя в системную директорию Windows под именем csrs.exe; записывает ссылку на этот файл в раздел реестра, отвечающий за автозагрузку приложений (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru n\"Client Server Runtime Process"="%System%\csrs.exe").

Распространяется на другие компьютеры в интернете, используя критические уязвимости переполнения буфера в Windows, не требующие участия пользователя:


LSASS (MS04-011)
SRVSVC (MS06-040)
RPC-DCOM (MS04-012)
PNP (MS05-039)

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Открывает на компьютере "чёрный ход".
Подключается к IRC-серверу для приёма команд атакующего.
Крадёт конфиденциальную информацию.
Загружает из интернета и выполняет дополнительный вредоносный код.
Распространяется, используя критические уязвимости в Windows

Trojan.Gpcoder.E

Троян

Для проверки наличия своей копии в памяти, создаёт мутекс __SYSTEM__64AD0625__.

Копирует себя в системную директорию Windows под именем ntos.exe; для сокрытия длины дополняет файл случайным количеством "мусорных" байт.

Проверяет наличие в памяти брандмауэров OUTPOST.EXE и CCPROXY.EXE. При обнаружении откладывает работу до следующей перезагрузки системы.

Собирает следующую информацию:


Версия ОС
Наличие SP2 (для XP)
Язык системы



Создаёт в системной директории Windows директорию wsnpoem с атрибутами "системная" "скрытая" (system и hidden).

Создаёт в wsnpoem файл-хранилище собранной информации: audio.dll.
Создаёт там же зашифрованный файл собственных настроек: video.dll.

Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений вместе с системой:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "%System%\userinit.exe, %System%\ntos.exe"



Для тех же целей может модифицировать следующие ключи реестра:


HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"userinit" = "%System%\ntos.exe"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run\"userinit" = "%System%\ntos.exe"



Внедряет вредоносный код в процессы WINLOGON.EXE и SVCHOST.EXE; пытается создать собственные потоки (threads) во всех процессах, кроме CSRSS.EXE.
Код выполняет функцию защиты от удаления и доступа к файлам, созданным трояном, и периодически восстанавливает изменённые и добавленные значения реестра.

Для внедрения кода в другие процессы использует методику руткита пользовательского режима.

Пытается получить контроль к работе с сетью - перехватывать и перенаправлять трафик.
Собирает различную информацию из системы.

Может создавать в реестре метку, означающую, что компьютер уже захвачен:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\"UID" = "[ИМЯ_КОМПЬЮТЕРА]_[УНИКАЛЬНЫЙ_ID]"



Открывает "чёрный ход" на TCP-порту 6081.

После 10 июля активируется процедура шифрования файлов.

Создаёт в реестре следующие ключи:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\"WinCode" = "[КЛЮЧ_ДЛЯ_ШИФРОВАНИЯ - 4 байта]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\"Win32" = "[ПОЧТОВЫЙ_ФЛАГ]"



[ПОЧТОВЫЙ ФЛАГ] - случайное число от 1 до 4, используемое для выбора почтового адреса атакующего.

Ищет на дисках (C - Z, кроме компакт-дисководов) во всех директориях, кроме корневой, файлы с расширениями:


.12m
.3ds
.3dx
.4ge
.4gl
.7z
.a86
.abc
.acd
.ace
.act
.ada
.adi
.aex
.af3
.afd
.ag4
.ai
.aif
.aifc
.aiff
.ain
.aio
.ais
.akf
.alv
.amp
.ans
.ap
.apa
.apo
.app
.arc
.arh
.arj
.arx
.asc
.asm
.ask
.au
.bak
.bas
.bb
.bcb
.bcp
.bdb
.bh
.bib
.bpr
.bsa
.btr
.bup
.bwb
.bz
.bz2
.c86
.cac
.cbl
.cc
.cdb
.cdr
.cgi
.cmd
.cnt
.cob
.col
.cpp
.cpt
.crp
.cru
.csc
.css
.csv
.ctx
.cvs
.cwb
.cwk
.cxe
.cxx
.cyp
.db
.db0
.db1
.db2
.db3
.db4
.dba
.dbb
.dbc
.dbd
.dbe
.dbf
.dbk
.dbm
.dbo
.dbq
.dbt
.dbx
.dfm
.djvu
.dic
.dif
.dm
.dmd
.doc
.dok
.dot
.dox
.dsc
.dwg
.dxf
.dxr
.eps
.exp
.fas
.fax
.fdb
.fla
.flb
.frm
.fm
.fox
.frm
.frt
.frx
.fsl
.gtd
.gif
.gz
.gzip
.ha
.hh
.hjt
.hog
.hpp
.htm
.html
.htx
.ice
.icf
.inc
.ish
.iso
.jar
.jad
.java
.jpg
.jpeg
.js
.jsp
.key
.kwm
.lst
.lwp
.lzh
.lzs
.lzw
.ma
.mak
.man
.maq
.mar
.mbx
.mdb
.mdf
.mid
.mo
.myd
.obj
.old
.p12
.pak
.pas
.pdf
.pem
.pfx
.php
.php3
.php4
.pgp
.pkr
.pl
.pm3
.pm4
.pm5
.pm6
.png
.ppt
.pps
.prf
.prx
.ps
.psd
.pst
.pw
.pwa
.pwl
.pwm
.pwp
.pxl
.py
.rar
.res
.rle
.rmr
.rnd
.rtf
.safe
.sar
.skr
.sln
.swf
.sql
.tar
.tbb
.tex
.tga
.tgz
.tif
.tiff
.txt
.vb
.vp
.wps
.xcr
.xls
.xml
.zip



Найденные файлы шифруются самодельным алгоритмом при помощи вышеуказанного ключа. Первые байты зараженного файла содержат сигнатуру - "GLAMOUR"

Создаёт в каждой директории, где есть зашифрованные файлы, файл read_me.txt.
В файле говорится, что все данные за последние 3 месяца зашифрованы алгоритмом RSA-4096, и необходимо заплатить выкуп в $300 за получение программы-расшифровщика. Иначе данные будут утеряны для пользователя и разглашены в Сети.

Текст в оригинале:

Hello, your files are encrypted with RSA-4096 algorithm ([http://]en.wikipedia.org/wiki/R[УДАЛЕНО]). You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us. To decrypt your files you need to buy our software. The price is $300. To buy our software please contact us at: [EMAIL] and provide us your personal code [КЛЮЧ_ДЛЯ_ШИФРОВАНИЯ]. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system.
If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data.

Glamorous team Почтовый адрес ([EMAIL]) выбирается в зависимости от значения "[ПОЧТОВЫЙ_ФЛАГ]":


[email protected]
[email protected]
[email protected]
[email protected]



Пытается отправлять и получать данные с сайта:


[http://]martin-golf.net/pajero/cfg[УДАЛЕНО]


Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Зашифровывает файлы на диске и предлагает пользователю заплатить выкуп за получение пароля.

Troj/PSW-EF

Троян

Признаки

При первом запуске копирует себя в системную директорию Windows (%System%) под именем shareb.exe и записывает в директорию Windows (%Windows%) DLL-файл shareb32.dll.

Устанавливает shareb32.dll как Вспомогательный объект браузера Microsoft Internet Explorer (Browser Helper Object). Производит записи в реестре:



HKCR\CLSID\{FBF3B337-FEB6-403B-BBE2-2B67CB6563E3}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\ShellExecuteHooks= {FBF3B337-FEB6-403B-BBE2-2B67CB6563E3}

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Работает как вспомогательный объект браузера Microsoft Internet Explorer; крадёт данные, вводимые в формах браузера.

W32/Looked-DM

Вирус

Признаки

При первом запуске создаёт следующие файлы в директории Windows (%Windows%):

Logo1_.exe
RichDll.dll
\uninstall\\rundl132.exe

Может создавать файлы "_desktop.ini" в различных директориях зараженного компьютера. Это безопасные текстовые файлы, которые могут быть удалены без вреда для системы.

Записывает ссылку на себя в раздел автозагрузки реестра:


HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load = "%Windows%\uninstall\rundl132.exe"

Создаёт раздел реестра HKLM\SOFTWARE\Soft\DownloadWWW\

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Способ заражения: запись тела вируса в начало исполняемого файла, дописывание оригинального файла в конец.

Распространяется, заражая файлы в директориях общего доступа файлообменных сетей.

Открывает "чёрный ход" на зараженном компьютере.
Загружает из интернета и выполняет другой вредоносный код.

Micro Bill System

Признаки

Потенциально нежелательное приложение для Windows от биллинговой компании Micro Bill Systems. Выводит счёт во всплывающем окне и учащает вывод окна при попытке пользователя проигнорировать его.

Пытается подключиться к сайту auth.microbillsys.com:1003; также посещает определённый URL и пытается установить с него различные компоненты, используя ActiveX.

Защита
Для удаления необходимо воспользоваться антивирусом с базой сигнатур, содержащих определение данного приложения.
Действие
Потенциально нежелательное приложение для Windows, совершающее действия, не согласованные с пользователем.

Micro Bill Systems - онлайновая биллинговая компания, предоставляющая услуги в основном "взрослым" сайтам.


Приложение отображает счёт во всплывающем окне, и чем больше его игнорировать, тем чаще окно будет всплывать.

Приложение также пытается загружать дополнительные компоненты.

W97M.Mupps

Признаки

Вредоносный код содержится в макросе в документе Word (.DOC). При открытии документа записывает в текущую директорию EXE-файл svdhost.exe - утилиту для организации на компьютере "чёрного хода".

Пытается подключиться к 160.149.157.132 через TCP-порты 443, 22 или 80.

Защита
Для удаления трояна необходимо воспользоваться антивирусной программой, содержащей в базе сигнатур его определение.
Действие
Представляет собой документ Word (.DOC). Открывает на компьютере "чёрный ход", связывается с атакующим.

W32/SillyFDC-AN

Признаки

При запуске копирует себя в системную директорию Windows (%System%) под именем systeminit.exe.

Копирует себя в корневую директорию съёмных дисков под именем setup.exe вместе с файлом автозапуска - autorun.inf, указывающим на setup.exe.

Создаёт в реестре запись, позволяющую запускать свой код при каждом старте Windows:


HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\systeminit = "%System%\systeminit.exe"



Затрудняет своё обнаружение, отключая через реестр доступ к Диспетчеру задач, командному процессору (cmd.exe), Редактору реестра и поиску файлов:


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\system\DisableCMD=2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\system\DisableRegistryTools=1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\system\DisableTaskMgr=1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\Explorer\NoFind=1

Включает через реестр автозапуск файлов (через autorun.ini) на всех дисках:


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\Explorer\NoDriveTypeAutoRun=0

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Распространяется копированием себя на съёмные диски; запускается автоматически при старте системы.

W32/Sdbot-DGM

Для распространения использует уязвимости Windows к удалённому выполнению кода, не требующие вмешательства пользователя, в частности, ASN.1 (MS04-007).
Также проникает на компьютеры через совместно используемые ресурсы, защищённые слабыми паролями.

При запуске копирует себя как %Windows%\MSTask.exe.
Создаёт вспомогательный файл %System%\trash1B9F4.
Создаёт библиотеку %System%\sfc_os.dll, отключающую проверку системных файлов. Антивирусы Sophos определяют её как "Disabled System File Check DLL".
Заменяет ftp-клиенты %System%\ftp.exe и %System%\tftp.exe на пустые файлы.

Регистрирует в реестре %Windows%\MSTask.exe как сервис "Windows Task Scheduler process" с аналогичным описанием и типом запуска "автоматический":

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN DOWS_TASK_SCHEDULER_PROCESS\
HKLM\SYSTEM\CurrentControlSet\Services\Windows Task Scheduler process\

Отключает через реестр различные функции защитных программ и защитные функции системы:

HKLM\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify=1
HKLM\SOFTWARE\Microsoft\Security Center\AntiVirusOverride=1
HKLM\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify=1
HKLM\SOFTWARE\Microsoft\Security Center\FirewallOverride=1
HKLM\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify=1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCScan=0
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\D omainProfile\EnableFirewall=0
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\S tandardProfile\EnableFirewall=0
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUp date\DoNotAllowXPSP2=1
HKLM\SOFTWARE\Symantec\LiveUpdate Admin\Enterprise Security Manager=1
HKLM\SOFTWARE\Symantec\LiveUpdate Admin\Ghost=1
HKLM\SOFTWARE\Symantec\LiveUpdate Admin\Intruder Alert=1
HKLM\SOFTWARE\Symantec\LiveUpdate Admin\LiveAdvisor=1
HKLM\SOFTWARE\Symantec\LiveUpdate Admin\LiveUpdate=1
HKLM\SOFTWARE\Symantec\LiveUpdate Admin\NetRecon=1
HKLM\SOFTWARE\Symantec\LiveUpdate Admin\Norton AntiVirus Product Updates=1
HKLM\SOFTWARE\Symantec\LiveUpdate Admin\Norton AntiVirus Virus Definitions=1
HKLM\SOFTWARE\Symantec\LiveUpdate Admin\Norton CleanSweep=1
HKLM\SOFTWARE\Symantec\LiveUpdate Admin\Norton Commander=1
HKLM\SOFTWARE\Symantec\LiveUpdate Admin\Norton Internet Security=1
HKLM\SOFTWARE\Symantec\LiveUpdate Admin\Norton SystemWorks=1
HKLM\SOFTWARE\Symantec\LiveUpdate Admin\Norton Utilities=1
HKLM\SOFTWARE\Symantec\LiveUpdate Admin\PC Handyman and HealthyPC=1
HKLM\SOFTWARE\Symantec\LiveUpdate Admin\Rescue Disk=1
HKLM\SOFTWARE\Symantec\LiveUpdate Admin\SymEvent=1
HKLM\SOFTWARE\Symantec\LiveUpdate Admin\Symantec Desktop Firewall=1
HKLM\SOFTWARE\Symantec\LiveUpdate Admin\Symantec Gateway Security IDS=1
HKLM\SOFTWARE\Symantec\LiveUpdate Admin\pcANYWHERE=1
HKLM\SYSTEM\CurrentControlSet\Services\lanmanserve r\parameters\AutoShareServer=0
HKLM\SYSTEM\CurrentControlSet\Services\lanmanserve r\parameters\AutoShareWks=0
HKLM\SYSTEM\CurrentControlSet\Services\lanmanworks tation\parameters\AutoShareServer=0
HKLM\SYSTEM\CurrentControlSet\Services\lanmanworks tation\parameters\AutoShareWks=0
HKLM\SYSTEM\CurrentControlSet\Services\wscsvc\Star t=4

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe); восстановить значения изменённых ключей.
Действие

Создаёт на компьютере "чёрный ход", поддерживая связь с атакующим через IRC-сервер
Загружает и выполняет дополнительный вредоносный код
Собирает и отправляет атакующему важную информацию

Распространяется, используя критические уязвимости в Windows к удалённому выполнению кода, не требующие вмешательства пользователя. Также копирует себя на совместно используемые сетевые ресурсы, защищённые слабыми паролями.

W32/SillyFDC-AM

Признаки

При старте копирует себя в системную директорию драйверов Windows (%System%\DRIVERS\) под именем WINLOGON.EXE, а также ищет EXE файлы на всех дисках и перезаписывает их своей копией, оставляя старое имя.

Распространяется копированием себя на съёмные диски под именем setup.exe, создаёт в корне диска файл автозапуска Autorun.inf.

Пытается заменить исполняемые файлы на компьютере на свою копию.

Обеспечивает себе автозагрузку, записывая в реестр следующее значение:


HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load="%System%\DRIVERS\WINLOGON.EXE"

Через реестр разрешает запуск файлов autorun.inf на всех дисках:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\Explorer\NoDriveTypeAutoRun=0

Через реестр отключает функцию поиска файлов, доступ к командному процессору (cmd.exe), Редактору реестра и Диспетчеру задач:


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\Explorer\NoFind=1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\system\DisableCMD=2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\system\DisableRegistryTools=1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\system\DisableTaskMgr=1

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой, а также восстановить значения всех изменённых ключей (использовать regedit.exe)
Действие
Распространяется копированием себя на съёмные диски и перезаписью исполняемых файлов EXE своей копией.

W32/Rubble-A

Признаки

При старте копирует себя под именем win32.exe в системную директорию Windows.
Записывает ссылку на себя в раздел автозагрузки реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Load=%System%\win32.exe

Распространяется, перезаписывая собой найденные исполняемые файлы (EXE) на всех дисках, включая съёмные.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Распространяется перезаписыванием собой исполняемых файлов (EXE) на всех дисках, что может привести к неработоспособности системы после перезагрузки.

Troj/Dorf-Gen

Признаки

Семейство троянов; при запуске копируют в директорию Windows файл драйвера с расширением SYS и регистрируют его в качестве сервиса с автоматической загрузкой при старте системы.
Для регистрации сервиса создают в реестре запись:


HKLM\SYSTEM\CurrentControlSet\Services\[ИМЯ_СЕРВИСА]



Обычно различные варианты троянов семейства пытаются встроить код в файл services.exe. Создают пустой файл %System%\peers.ini, загружают из интернета и выполняют дополнительный вредоносный код, открывают на компьютере "чёрный ход", предоставляющий атакующему полный доступ к системе.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Семейство троянов для Windows, открывающих в системе "чёрный ход".

Troj/DropRk-A

Признаки

При старте копирует себя в %Temp%\startdrv.exe, а также создаёт файл %System%\drivers\runtime2.sys. Последний представляет собой драйвер-руткит Troj/Rootkit-BI.

Устанавливает runtime2.sys в качестве системного сервиса с автоматическим запуском при старте системы. Для этого добавляет в реестр следующие записи:


HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RUN TIME2\
HKLM\SYSTEM\CurrentControlSet\Services\runtime2



Записывает ссылку на %Temp%\startdrv.exe в раздел реестра, отвечающий за автозагрузку:


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \startdrv="%Temp%\startdrv.exe"

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Устанавливает руткит Troj/Rootkit-BI, открывает в системе "чёрный ход", загружает из интернета и выполняет другой вредоносный код.

Troj/Agent-FYV

Признаки

При старте записывает в системную директорию Windows драйвер и библиотеку:

%System%\drivers\[СЛУЧАЙНОЕ_ИМЯ]94.sys
%System%\[СЛУЧАЙНОЕ_ИМЯ]94.dll

Регистрирует SYS-файл как системный сервис с режимом автоматической загрузки при старте системы. (Создаёт в реестре ветвь HKLM\SYSTEM\CurrentControlSet\Services\[СЛУЧАЙНОЕ_ИМЯ]94).

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Устанавливает в системе драйвер-руткит; открывает в системе "чёрный ход", загружает из интернета и выполняет другой вредоносный код.

Spyware.KeyloggerLite

Признаки

При установке создаёт директории:

%ProgramFiles%\Keylogger Lite
%UserProfile%\Start Menu\Programs\Keylogger Lite

Создаёт следующие файлы:

%UserProfile%\Desktop\Keylogger Lite.lnk
%UserProfile%\Start Menu\Programs\Keylogger Lite\Keylogger Lite.lnk
%UserProfile%\Start Menu\Programs\Keylogger Lite\Uninstall Keylogger Lite.lnk
%UserProfile%\Start Menu\Programs\Keylogger Lite\Visit the Official Keylogger Lite Website.lnk
%ProgramFiles%\Keylogger Lite\exp32.dll
%ProgramFiles%\Keylogger Lite\Keylogger Lite.exe
%ProgramFiles%\Keylogger Lite\Uninstall.exe
%ProgramFiles%\Keylogger Lite\Visit the Official Keylogger Lite Website.url

Создаёт следующие подключи в реестре:

HKEY_ALL_USERS\Software\ToolsAnywhere
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\Keylogger Lite.

Защита

Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Клавиатурный шпион: записывает ввод с клавиатуры в отдельный файл.

Источник: Symantec.com

Adware.Webbuy

Признаки

При запуске создаёт следующие файлы:

%ProgramFiles%\Web Buying\[ВЕРСИЯ]\Webbuying.exe
%System%\[СЛУЧАЙНОЕ ИМЯ].dll

[ВЕРСИЯ] может быть следующей: v1.0, v1.1, v1.2, v1.3, v1.4, v1.5, v1.5.1, v1.5.2, v1.5.3, v1.5.4, v1.5.5, v1.5.6, v1.5.7, v1.5.8, v1.5.9, v1.6.0, v1.6.1, v1.6.2, v1.6.3, v1.6.4, v1.6.5, v1.6.6, v1.6.7, v1.6.8, v1.6.9, v1.7.0, v1.7.1, v1.7.2, v1.7.3, v1.7.4.

Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте Windows:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"WebBuying" = "%ProgramFiles%\Web Buying\[ВЕРСИЯ]\Webbuying.exe"

Создаёт в реестре следующие подключи:

HKEY_CLASSES_ROOT\CLSID\{[СЛУЧАЙНЫЙ CLSID]}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{[СЛУЧАЙНЫЙ CLSID]}
HKEY_CURRENT_USER\Software\WebBuying

Для получения и отображения рекламы соединяется со следующим сайтом:
[http://]s.webbuying.net/e/sp.[УДАЛЕНО].

Защита

Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Вспомогательный объект браузера (Browser Helper Object), отображающий рекламу.
Требует ручной установки.

Источник: Symantec.com

W32.Phoney.A



При запуске сохраняет себя как

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Empty.pif
%Windir%\Autorun.inf
%System%\web.exe
%Windir%\winxp.exe
%CurrentFolder%\[ИМЯ_ДИРЕКТОРИИ].exe

Копирует себя на подключенные сетевые диски под именем microsoft.exe и создаёт на этих дисках файл автозапуска autorun.inf со ссылкой на microsoft.exe.

Записывает в реестр ключи, обеспечивающие автозапуск при каждом старте системы:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\"Bron" = "%Windir%\winxp.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Rontok" = "Explorer.exe "%Windir%\winxp.exe""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "%System%\userinit.exe, %Windir%\winxp.exe"

Ослабляет настройки безопасности системы, а также запрещает пользователю доступ к Редактору реестра, Диспетчеру задач и другим функциям. Для этого модифицирует настройки в реестре:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer\"NoFolderOptions" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\System\"DisableRegistryTools" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\System\"DisableTaskMgr" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"Hidden" = "4"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"HideFileExt" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\"NoClose" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\"NoDesktop" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\"Nofolderoptions" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Network\"NoNetSetup" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"DisableCMD" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"DisableRegistryTools" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"DisableTaskMgr" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"NoDispCPL" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\WinOldApp\"Disable = "4"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\"Auto" = ""1""
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows NT\SystemRestore\"DisableConfig" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows NT\SystemRestore\"DisableSR" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Installer\"DisableMSI" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Installer\"LimitSystemRestoreCheckpointing" = "1"



Перехватывает на себя команды запуска исполняемых файлов (BAT, COM, EXE, LNK, PIF). Модифицирует следующие записи в реестре:


HKEY_CLASSES_ROOT\batfile\shell\open\command\"(Default Value)" = ""%System%\web.exe" "%1" %*"
HKEY_CLASSES_ROOT\comfile\shell\open\command\"(Default Value)" = ""%System%\web.exe" "%1" %*"
HKEY_CLASSES_ROOT\exefile\"(Default Value)" = "File Folder" = ""%System%\web.exe" "%1" %*"
HKEY_CLASSES_ROOT\lnkfile\shell\open\command\"(Default Value)" = ""%System%\web.exe" "%1" %*"
HKEY_CLASSES_ROOT\piffile\shell\open\command\"(Default Value)" = ""%System%\web.exe" "%1" %*"



Обеспечивает себе автозагрузку в "Безопасном режиме":


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\"AlternateShell" = "%System%\web.exe"

Перезагружает компьютер каждые полчаса с 8 утра до 8:30 вечера.
Выводит сообщение от имени Norton Antivirus о том, что компьютер заражен Rontokbro.
Сообщение появляется по следующему расписанию:


08:13:10
08:48:10
09:17:10
09:51:10
10:10:10
10:46:10
11:19:10
11:38:10
12:12:10
12:49:10
13:41:10
14:06:10
14:27:10
15:15:10
15:54:10
16:10:10
16:43:10
17:16:10
17:42:10
18:17:10



Закрывает окна, содержащие в заголовке следующие подстроки:


ANT
ANTI
ASM
AVAST
AVS
BUG
CLEANER
CONF
DBG
DETEC
ESSET
Edit
Editor
Folder
INSTALL
KILL
Local
MCAFEE
NOD32
NORTON
NTVDM
OPEN
Options
PLAY
PROC
REG
REM
REMOV
REST
Registry
SAVE
SCAN
SETUP
Settings
TASK
UPDAT
UPG
VIR
VIRUS
W32
WALK



Закрывает окна следующих типов: ComboBox, ComboBoxEx32, RebarWindow32

Защита

Отключить функцию "Восстановление системы" (для Windows ME и XP)
Использовать инструмент для сброса подключей реестра shell\open\command, модифицированных вредоносной программой, либо модифицировать их вручную.
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые значения реестра (использовать regedit.exe)

Действие

Распространяется копированием себя на подключенные сетевые диски (mapped drives).
Ослабляет настройки безопасности в системе.

Источник: Symantec.com

W32/Rbot-GSJ

Признаки

Открывает в системе "чёрный ход" через IRC-сервер, обеспечивая доступ атакующего к зараженному компьютеру.

При первом запуске сохраняет себя как %System%\rundll.exe.

Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте системы:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Microsoft=rundll.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services\Microsoft=rundll.exe

Записывает в реестр следующий ключ:

HKCU\Software\ASProtect\Microsoft=rundll.exe

Защита

Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)

Действие

Распространяется копированием себя на совместно используемые сетевые диски.

Открывает "чёрный ход" на компьютере; загружает из интернета и запускает другой вредоносный код.

Ослабляет настройки безопасности системы.

Запускается после каждой загрузки системы.

Источник: Sophos.com

W32/Frawrm-A

Признаки

При первом запуске копирует себя как:
%Root%\recycler\systems.com
%System%\taskmger.com.
Создаёт файл %Root%\autorun.inf, который определяется как Mal/AutoInf-A

Обеспечивает свою автозагрузку, дописывая себя в реестр в качестве параметра к оболочке по умолчанию:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell=Explorer.exe taskmger.com

Отключает доступ пользователя к Диспетчеру задач и Редактору реестра:

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableTaskmgr=1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableRegistryTools=1

Защита

Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)

Действие

Распространяется копированием себя на совместно используемые сетевые диски и съёмные диски.

Источник: Sophos.com

W32/Sohana-Z

Признаки

При первом запуске копирует себя как:

%Windows%\SCVHOST.exe
%System%\SCVHOST.exe
%System%\blastclnnn.exe

Создаёт файл %System%\autorun.ini (файл определяется как Mal/AutoInf-A).

Записывает ссылку на себя в ключи реестра, отвечающие за автозагрузку приложений при старте системы:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Yahoo Messengger = %System%\SCVHOST.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell=Explorer.exe SCVHOST.exe

Отключает через реестр Диспетчер задач и Редактор реестра, а также удаляет пункт меню "Свойства папки" из меню "Настройка":

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableTaskMgr=1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableRegistryTools=1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NofolderOptions=1

Защита

Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые значения ключей (использовать regedit.exe)
Действие
Распространяется копированием себя на съёмные диски, сетевые диски и через программы чата.

Обладает следующим функционалом:

Открывает "чёрный ход" на зараженном компьютере
Ворует информацию, включая ввод с клавиатуры
Загружает из интернета и выполняет другой вредоносный код
Ослабляет настройки безопасности системы
Загружается автоматически при старте системы

Источник: Sophos.com

W32/Ircbot-WW

Признаки

При первом запуске копирует себя в системную директорию Windows (%System%) под именем u.exe.

Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте системы:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Office Monitor Word Exel R= %System%\u.exe

Отключает через реестр сервис DCOM и доступ к LSA анонимным пользователям, защищая компьютер от вредоносного кода, использующего уязвимости Windows в этих компонентах системы:

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM=N
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrict anonymous=1

Защита

Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой, восстановить все изменённые ключи (использовать regedit.exe)
Действие
Распространяется копированием себя на совместно используемые сетевые диски.

Открывает на компьютере "чёрный ход", подключаясь к IRC-серверу
Ворует информацию
Загружает из интернета и выполняет другой вредоносный код
Загружается автоматически при каждом старте системы

Источник: Sophos.com

W32.Mubla.B

При первом запуске создаёт следующие файлы:


%System%\notiffy.dll
%System%\printers.exe



Через реестр регистрирует себя как COM-объект и объект загрузки оболочки:


HKEY_CURRENT_USER\Software\Microsoft\[СЛУЧАЙНЫЕ_БУКВЫ]\"[СЛУЧАЙНЫЕ_БУКВЫ_(ТЕ_ЖЕ)]" = "[ДВОИЧНЫЕ_ДАННЫЕ]"
HKEY_CLASSES_ROOT\CLSID\{[СЛУЧАЙНЫЙ CLSID]}\InProcServer32\"(Default Value)" = "notiffy.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad\"printers" = "{[СЛУЧАЙНЫЙ CLSID (ТОТ ЖЕ)]}"



Подключается к IRC серверу john.free4people.net и заходит на определённый канал.
Обеспечивает для атакующего возможность загружать и выполнять файлы на зараженном компьютере, а также воровать пароли.

Распространяется через MSN Live Messenger, предлагая пользователям ссылку на файл photosalbum-2007-5-26.scr, расположенный на FTP-сервере.

В качестве сопроводительного текста использует случайным образом одну из следующих строк:


You and Me !!! .... look :p
Look at my photos hihi :p
Hey please accept my photos :o !!
A photo with me and my best friend :$ !!
This is me totaly naked :o please dont send to anyone else
Look what i found on the NET :o Jessica Alba NUDE !!
images0
photos0
album
photo
pictures0
picture
bak sana Paris Hilton ne hale gelmis hapiste :(
Sen ve Ben !!! .... BAK :p
Baksana benim fotograflara hihi :p
Hey benim fotolarimi kabul et :o !!
Iyi arkadasimla fotorafdayim :$ !!
benim bu ciplak fotoda :o ama baskasina yollama
bak ne buldum :o Jessica alba ciplak !!
lle ai .t. jeter en prison :(
Toi et moi !!! .... regarde :p
Regarde mes photos :p
Hey s',27h,'il te plait accepte mes photos :o !!
Une photo de moi et mon meilleur ami :$ !!
envoie a personne d',27h,'autre
NU !!
Kijk hoe erg Paris Hilton er aan toe is na gevangenschap :(
Jij en Ik !!!! .... kijk :p
Kijk eens naar mijn fotos hihi :p
HEY !! accepteer mn fotos dan !
met mijn beste vriend op de foto !! :$
Dit ben ik naakt op de foto, stuur alsjeblieft niet door.
Kijk wat ik gevonden heb :o Jessica Alba naakt !!
aus dem knast ist :(
du und ich !!! ....guck :p
siehe meine fotos hihi :p
hey bitte nimm meine fotos an :o !!
ein foto mit meinem besten freund und mir :$ !!
das bin ich total nackt :o bitte sende es niemand anderem
!!
a :(
Tu ed io !!! .... guarda :p
Guardi le mie foto hihi :p
Mairee photos accept karo :o !!
Una foto con me ed il mio amico migliore :$ !!
Questa e me totaly nudo :o prego non trasmette a chiunque
A !!
:(
Voc. e eu !!!! .... Veja :p
Veja as minhas fotos hehehe :p
Por favor aceite as minhas fotos :o !!
Uma foto com o meu melhor amigo e eu :$ !!
ingu.m
Olha o que eu achei na NET :o Jessica Alba NUA !!
kAN BA LI XI ER DUN JIN JIANYU HOU SHI DUO ME QIAOCUI :(
NI HE WO !!! .... QING KAN :p
KAN WO DE ZHAOPIAN :p
JIESHOU WO DE ZHAO PIAN :o !!
YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :$ !!
KAN WO DE ZHAOPIAN :p
ZHE SHI WO DE LUOZHAO :o QING BU YAO FA GEI BIEREN !!
Hey, acceptera mina bilder, sn.lla :o
En bild p. mig och min b.sta v.n :$ !!!
n.lla...
Kolla vad jag hittade p. n.tet :o Jessica Alba NAKEN !!
Ha aceptado mis fotos por favor :o !!
Una foto con mi mejor amigo e yo :$ !!
die
Mira lo que encontr. en la WEB :o Jessica Alba DESNUDA !!
Lede hvor spild Paris Hilton er efter hun fik f.ngsel :(
Jer og Mig !!! ... se :p
Se p. min fotos :p
Hej behage optage min foto :o !!
EN foto hos mig og min bedst ven :$ !!
il nogle :o
Lede hvad jeg fandt oven p. den net :o Jessica Alba bar !!



(По классификации Sophos называется W32/Kik-A)

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Распространяется, рассылая ссылки на себя через MSN Live Messenger; открывает на компьютере "чёрный ход" через канал IRC-сервера.
Источник: Symantec.com

W32/OutLaw-B

При первом запуске копирует себя как:

%Root%\recycler\systems.com
%System%\taskmger.com

Копирует себя на все съёмные и сетевые диски как %Root%\recycler\systems.com и создаёт файл %Root%\autorun.inf, обеспечивающий автозапуск копии червя при подключении дисков к файловой системе. Последний файл определяется антивирусом Sophos как Mal/AutoInf-A.

В реестре дописывает своё имя в качестве параметра к оболочке по умолчанию (Explorer.exe), обеспечивая себе автозагрузку при каждом старте системы.


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe taskmger.com"

Отключает через реестр доступ пользователя к Диспетчеру задач и Редактору реестра:

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableTaskmgr=1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableRegistryTools=1

Псевдонимы W32/OutLaw-B: Virus.Win32.AutoRun.bd, W32/Generic.worm.j.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Распространяется копированием себя на съёмные и сетевые диски.

Запускается при каждом старте системы и находится в памяти в течение всего сеанса работы.

W32.Bratsters

При первом запуске создаёт в системной директории Windows (%System%) файлы wnipsvr.exe и perefic.ini.

В корне всех дисков создаёт свою копию под именем hide.exe и файл autorun.inf, содержащий ссылку на hide.exe и обеспечивающий автозапуск червя при каждом подключении диска к системе.

Создаёт следующие записи в реестре:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Visual WEB\"Start" = "2" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Visual WEB\"ImagePath" = "%System%\wnipsvr.exe -run"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Visual WEB\"DisplayName" = "NetworSVSA"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Visual WEB\"Description" = "[СООБЩЕНИЕ_В_НЕИЗВЕСТНОЙ_КОДИРОВКЕ]"



Загружает с файлы с сайта [http://]cao.ganbibi.com и сохраняет их в директории с программами (%ProgramFiles%) под именами от 100 до 120 с расширением EXE.

Подключается также к сайту [http://]bratsersrock.com.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Распространяется копированием себя на все диски; загружает из интернета и выполняет другие вредоносные модули.
Источник: Symantec.com

W32.Imautorun

При старте создаёт на всех дисках файлы с атрибутами "системный", "скрытый" и "только для чтения": msn.exe и autorun.inf. Последний содержит ссылку на msn.exe и обеспечивает автозагрузку при подключении диска к системе.

Создаёт в реестре следующий подключ:


HKEY_USERS\S-1-5-21-1607803123-1685539076-50495302-500\Software\VB and VBA Program Settings\adtuosa



Пытается загрузить файл с URL [http://]vstoo.cn/xxx/adtuo[УДАЛЕНО]

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Распространяется копированием себя на все доступные диски; загружает из интернета и выполняет другой потенциально вредоносный код.
Источник: Symantec.com

W32/Agobot-AIX

Распространяется копированием себя на совместно используемые сетевые ресурсы.

Также использует для распространения критические уязвимости в Windows, RealNetworks и Symantec, эксплуатация которых не требует участия пользователя: LSASS (MS04-011), SRVSVC (MS06-040), RPC-DCOM (MS04-012), ASN.1 (MS04-007), RealVNC (CVE-2006-2369) и Symantec (SYM06-010).

Открывает на компьютере "чёрный ход", подключаясь к определённым каналам IRC-сервера.

При первом запуске копирует себя в %System%\winins.exe.

Отключает доступ к сайтам антивирусных компаний. Для этого в файле hosts сопоставляет имена сайтов IP-адресу локальной машины:


127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads5.kaspersky-labs.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.kaspersky-labs.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com



Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
В файле hosts удалить записи, отключающие доступ к антивирусным сайтам
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Распространяется посредством копирования себя на сетевые совместно используемые директории и эксплуатируя критические уязвимости в Windows к выполнению произвольного кода.

Ослабляет настройки безопасности системы.

Загружает из интернета другой вредоносный код.

Открывает в системе "чёрный ход".

Trojan.Firpage

Распространяется в файлах с именами route.exe или update.exe; может быть загружен пользователем из интернета и требует ручного запуска.

При первом запуске создаёт файл-сценарий на VBScript с атрибутами "системный", "скрытый", "только для чтения" и "архив":


C:\Documents and Settings\Administrator\Local Settings\Temp\vbe.vbe



Открывает в браузере по умолчанию страницу с сообщением об ошибке ([http://]www.route24.de/error[УДАЛЕНО])

Записывает ссылку на VBE-файл в раздел реестра, отвечающий за однократный запуск приложений при загрузке системы - RunOnce (после запуска записанных в этот раздел файлов система автоматически удаляет запись из реестра):


HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce\"system32" = "WScript "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\vbe.vbe" [54 НЕОТОБРАЖАЕМЫХ СИМВОЛА]

Запущенный VBScript устанавливает стартовые страницы Microsoft Internet Explorer и Mozilla Firefox (если браузеры присутствуют в системе) на сайт [http://]www7.einfachstarten.com и удаляет себя.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Действие
Устанавливает новую стартовую страницу в браузерах Microsoft Internet Explorer и Mozilla Firefox на сайт [http://]www7.einfachstarten.com.

Источник: Symantec.com

Spyware.SpyPal
При установке создаёт директории:

%ProgramFiles%\SPSS
%ProgramFiles%\SPSS\data
%ProgramFiles%\SPSS\logs
%ProgramFiles%\SPSS\scrshot

Также создаёт файлы:

%System%\psreginf.ini
%UserProflie%\Local Settings\Temp\~DF[СЛУЧАЙНЫЕ СИМВОЛЫ].tmp
%ProgramFiles%\SPSS\apsvc.exe
%ProgramFiles%\SPSS\data\data.dat
%ProgramFiles%\SPSS\data\ps_demo_report.html
%ProgramFiles%\SPSS\data\reginf.ini
%ProgramFiles%\SPSS\data\testftpok.html
%ProgramFiles%\SPSS\data\usrproc.exe
%ProgramFiles%\SPSS\data\winserv.exe
%ProgramFiles%\SPSS\help.chm
%ProgramFiles%\SPSS\License.txt
%ProgramFiles%\SPSS\readme.txt
%ProgramFiles%\SPSS\scrshot\[СЛУЧАЙНОЕ ИМЯ].jpg
%ProgramFiles%\SPSS\unins000.dat
%ProgramFiles%\SPSS\unins000.exe
%System%\fltmc001.dat
%System%\fltmc002.dat
%System%\fltmc003.dat
%System%\reghost.exe

Записывает ссылку на себя в раздел реестра, отвечающий за автозапуск приложений при старте системы:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"reghost" = "%System%\reghost.exe"

Создаёт подключи реестра:

HKEY_CLASSES_ROOT\CLSID\{5883CA7C-B619-45C9-8E5D-DD6F7EA91785}
HKEY_CLASSES_ROOT\Interface\{FC279BC4-9E6E-4999-93E2-3AE39CCE2927}
HKEY_CLASSES_ROOT\Mapiprop.MAPIPropWrapper
HKEY_CLASSES_ROOT\TypeLib\{64DEBE33-C381-465B-A707-3F56C5B93470}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\SpyPal Spy Software_is1

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Шпионское приложение SpyPal v4.6.1 от Thinkertec.
Собирает следующую информацию:

URL посещённых веб-сайтов
Электронные письма
Переписка в ICQ, MSN, Yahoo! IM, AIM, Skype
Запускаемые приложения
Открываемые документы
Открываемые окна
Ввод с клавиатуры
Скриншоты (периодически)
Источник: Symantec.com

Adware.InstallProvider

При первом запуске создаёт следующие файлы:

C:\Documents and Settings\[ТЕКУЩИЙ ПОЛЬЗОВАТЕЛЬ]\Cookies\[СЛУЧАЙНЫЙ ПОЛЬЗОВАТЕЛЬ]@84.243.251[2].txt
C:\Documents and Settings\[ТЕКУЩИЙ ПОЛЬЗОВАТЕЛЬ]\Local Settings\Temp\[СЛУЧАЙНОЕ ИМЯ ФАЙЛА].exe
C:\Documents and Settings\[ТЕКУЩИЙ ПОЛЬЗОВАТЕЛЬ]\Local Settings\Temp\[СЛУЧАЙНОЕ ИМЯ ДИРЕКТОРИИ]\Installer.exe
C:\Documents and Settings\[ТЕКУЩИЙ ПОЛЬЗОВАТЕЛЬ]\Local Settings\Temp\[СЛУЧАЙНОЕ ИМЯ ДИРЕКТОРИИ]\InstallOptions.dll
C:\Documents and Settings\[ТЕКУЩИЙ ПОЛЬЗОВАТЕЛЬ]\Start Menu\Programs\Install Provider\InstallProvider.url
C:\Program Files\Install Provider\data.ini
C:\Program Files\Install Provider\Install Provider.ico
C:\Program Files\Install Provider\InstallProvider.dll
C:\Program Files\Install Provider\InstallProvider.dlldat



Создаёт в реестре следующие подключи:


HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A9344DE 7-59F2-40F8-9AE7-C203B67444DA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A9344DE 7-59F2-40F8-9AE7-C203B67444DA}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BBA0C39 A-46D8-436D-BF53-6FB84997BC6E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BBA0C39 A-46D8-436D-BF53-6FB84997BC6E}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F93C5BF F-16F9-4DC5-B78C-EC46F896EE56}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F93C5BF F-16F9-4DC5-B78C-EC46F896EE56}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\Install Provider
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadMana ger
HKEY_LOCAL_MACHINE\SOFTWARE\Install Provider
HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentV ersion\Ext\Stats\{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentV ersion\Ext\Stats\{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\DownloadUI: "{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
HKEY_ALL_USERS\Software\Microsoft\Internet Explorer\DownloadUI: "{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}"
HKEY_ALL_USERS\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{A9344DE7-59F2-40F8-9AE7-C203B67444DA}



Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Install Provider v1.0.18.0, разработчик - Install Provider.

Представляет собой панель инструментов (Toolbar) с окном поиска в интернете. При попытке загрузить файл с использованием Install Provider, программа отображает рекламу веб-сайтов, содержащих другой adware: avsystemcare.com и drivecleaner.com.
Источник: Symantec.com

YahooSpyMon
При запуске создаёт директорию для хранения журнала информации Yahoo Messenger: %ProgramFiles%\YIMCS\logs.

Устанавливает следующие файлы:

%UserProfile%\Local Settings\Temp\DRDld\yimspymonitor.exe
%CommonProgramFiles%\Download Manager\Yahoo! Messenger Spy Monitor\LMDOWNLOADINFO.xml
%ProgramFiles%\YIMCS\data\dpnsvry.exe
%ProgramFiles%\YIMCS\data\emxfile003.dat
%ProgramFiles%\YIMCS\data\ps_demo_report.html
%ProgramFiles%\YIMCS\data\testftpok.html
%ProgramFiles%\YIMCS\data\vssvcy.exe
%ProgramFiles%\YIMCS\data\yimusr.ini
%ProgramFiles%\YIMCS\help.chm
%ProgramFiles%\YIMCS\License.txt
%ProgramFiles%\YIMCS\readme.txt
%ProgramFiles%\YIMCS\unins000.dat
%ProgramFiles%\YIMCS\unins000.exe
%ProgramFiles%\YIMCS\winyim.exe
%System%\adsnwy.exe
%System%\mxpvct22.dat
%System%\mxpvct25.dat
%System%\yimappini.ini

Создаёт ключи в реестре:

HKEY_ALL_USERS\Software\Digital River
HKEY_ALL_USERS\Software\Digital River\SoftwarePassport\Download Manager\6FFCFD13AF7A92143F5AD29D6134E432
HKEY_ALL_USERS\Software\Digital River\SoftwarePassport\eMatrixSoft\Yahoo! Messenger Spy Monitor
HKEY_CLASSES_ROOT\CLSID\{A4643A87-99A0-4404-9BC5-2322BDD61637}
HKEY_CLASSES_ROOT\CLSID\{A46E5261-9956-4767-88CA-DFCED050D09E}
HKEY_CLASSES_ROOT\CLSID\{A7EC2CD3-9941-4FD4-9D01-105DC16A4313}
HKEY_CLASSES_ROOT\Chilkat.Email2
HKEY_CLASSES_ROOT\Chilkat.EmailBundle2
HKEY_CLASSES_ROOT\Chilkat.MailMan2
HKEY_CLASSES_ROOT\ChilkatMail2.ChilkatEmail2
HKEY_CLASSES_ROOT\ChilkatMail2.ChilkatEmailBundle2
HKEY_CLASSES_ROOT\ChilkatMail2.ChilkatMailMan2
HKEY_CLASSES_ROOT\Interface\{06544919-F559-4AE5-9001-F903BD8A84E6}
HKEY_CLASSES_ROOT\Interface\{4340DF8E-D7A3-4675-BE74-80077B2B3E81}
HKEY_CLASSES_ROOT\Interface\{51A0888C-9970-44DE-8C2C-835BA870D06F}
HKEY_CLASSES_ROOT\Interface\{5ACAE4B8-62D9-4124-A58A-9B1258B77E99}
HKEY_CLASSES_ROOT\Interface\{7D37DED8-1945-4E42-A3FD-B9620E0AD8E3}
HKEY_CLASSES_ROOT\Interface\{C4C23B78-DB98-444C-B601-DCAC6EBBEC54}
HKEY_CLASSES_ROOT\Interface\{CCB7FB40-99EC-4678-9202-52798DA78ABA}
HKEY_CLASSES_ROOT\Interface\{D12FB216-99DA-4EB3-9CC0-C0F760B174A0}
HKEY_CLASSES_ROOT\Interface\{D56C1AF1-3FDE-471C-9BC2-C52515F260C1}
HKEY_CLASSES_ROOT\Interface\{E656B867-992C-4462-A27D-EBE604EC3A48}
HKEY_CLASSES_ROOT\TypeLib\{1DF3AFED-99E0-4474-9900-954B8FD24E86}

Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку при старте системы:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"adsnwy" = "%System%\adsnwy.exe"

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Yahoo Messenger! Spy Monitor, версия 6.4.3, от eMatrixSoft.

Записывает информацию из Yahoo Messenger! в файл журнала на локальном компьютере.

Источник: Symantec.com

Spyware.TypeTeller

При установке создаёт директорию "%CurrentFolder%\TypeTeller 2006". Создаёт файлы: #UL %CurrentFolder%\TypeTeller 2006\typeteller.exe %CurrentFolder%\TypeTeller 2006\typeteller.dll %CurrentFolder%\TypeTeller 2006\typeteller.txt %CurrentFolder%\TypeTeller 2006\affiliates.txt %CurrentFolder%\TypeTeller 2006\rebrandit.txt %CurrentFolder%\TypeTeller 2006\first.run %CurrentFolder%\TypeTeller 2006\readme.txt #/UL Записывает ссылку на себя в раздел автозагрузки приложений при старте системы: #UL HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"typeteller" = "%CurrentFolder%\TypeTeller 2006\typeteller.exe" #/UL
Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Клавиатурный шпион. Сохраняет введённые с клавиатуры символы в файл журнала.
Источник: Symantec.com

Spyware.StealthChatMon
При первом запуске создаёт файлы:

C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\AIMusers.usr
C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\ICQusers.usr
C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\MSNusers.usr
C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\Skypeusers.usr
C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\SysAllDaySysMessenger.xs l
C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\Sysbk.bmp
C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\SysMessenger.xsl
C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\SystemChatErrors.txt
C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\TestEmail.xml
C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\Yahoousers.usr
C:\Documents and Settings\All Users\Application Data\SystemMessenger\SendEmail.exe
C:\Documents and Settings\All Users\Application Data\SystemMessenger\SystemChatHelp.chm
C:\Documents and Settings\All Users\Application Data\SystemMessenger\SystemMessenger.dll
C:\Documents and Settings\All Users\Application Data\SystemMessenger\SystemMessenger.exe
C:\Documents and Settings\All Users\Application Data\SystemMessenger\SystemMessengerUninstaller.ex e
C:\Documents and Settings\All Users\Application Data\SystemMessenger\xcacls.exe



Также создаёт директории для журналов переговоров:


C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\AIM
C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\ICQ
C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\MSN
C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\Skype
C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\Users
C:\Documents and Settings\All Users\Application Data\SystemMessenger\Logs\Yahoo



Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте системы:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"SystemMessenger" = "C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\All Users\Application Data\SystemMessenger\SystemMessenger.dll" rdl"



Создаёт в реестре подключ HKEY_LOCAL_MACHINE\SOFTWARE\SystemMessenger.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Stealth Chat Monitor, версия 1.5 (build 93); разработчик - Amplusnet.

Программа-перехватчик текстовых переговоров интернет-пейджеров AIM, ICQ, MSN, Skype, Yahoo с функцией отсылки собранных данных по заданному адресу.
Источник: Symantec.com

Spyware.IESecurityPro

При первом запуске создаёт следующие файлы:

C:\Documents and Settings\All Users\Start Menu\Programs\IE Security
C:\Documents and Settings\All Users\Start Menu\Programs\IE Security\IE Security help file.lnk
C:\Documents and Settings\All Users\Start Menu\Programs\IE Security\IE Security.lnk
C:\Documents and Settings\All Users\Start Menu\Programs\IE Security\Readme.lnk
C:\Documents and Settings\All Users\Start Menu\Programs\IE Security\Uninstall IE Security.lnk
%ProgramFiles%\IE Security
%ProgramFiles%\IE Security\alternate.html
%ProgramFiles%\IE Security\dfsrv.dll
%ProgramFiles%\IE Security\iesecpro.chm
%ProgramFiles%\IE Security\iesecpro.cnt
%ProgramFiles%\IE Security\iesecpro.dat
%ProgramFiles%\IE Security\iesecpro.dll
%ProgramFiles%\IE Security\iesecpro.exe
%ProgramFiles%\IE Security\iesecpro.hlp
%ProgramFiles%\IE Security\iesecpro.ini
%ProgramFiles%\IE Security\license.txt
%ProgramFiles%\IE Security\readme.txt
%ProgramFiles%\IE Security\Skins\BlueGlass\Master.bmp
%ProgramFiles%\IE Security\Skins\BlueGlass\Options.dat
%ProgramFiles%\IE Security\Skins\BlueIce\BG.JPG
%ProgramFiles%\IE Security\Skins\BlueIce\Master.bmp
%ProgramFiles%\IE Security\Skins\BlueIce\Options.dat
%ProgramFiles%\IE Security\Skins\BluePlastic\Master.bmp
%ProgramFiles%\IE Security\Skins\BluePlastic\Options.dat
%ProgramFiles%\IE Security\Skins\DarkGlass\Bkgnd.jpg
%ProgramFiles%\IE Security\Skins\DarkGlass\Master.bmp
%ProgramFiles%\IE Security\Skins\DarkGlass\Options.dat
%ProgramFiles%\IE Security\Skins\Desert\Master.bmp
%ProgramFiles%\IE Security\Skins\Desert\Options.dat
%ProgramFiles%\IE Security\Skins\Elegant\Master.bmp
%ProgramFiles%\IE Security\Skins\Elegant\Options.dat
%ProgramFiles%\IE Security\Skins\Golden\Master.bmp
%ProgramFiles%\IE Security\Skins\Golden\Options.dat
%ProgramFiles%\IE Security\Skins\GrayPlastic\Master.bmp
%ProgramFiles%\IE Security\Skins\GrayPlastic\Options.dat
%ProgramFiles%\IE Security\Skins\Ledenets\Master.bmp
%ProgramFiles%\IE Security\Skins\Ledenets\Options.dat
%ProgramFiles%\IE Security\Skins\LongHorn\Master.bmp
%ProgramFiles%\IE Security\Skins\LongHorn\Options.dat
%ProgramFiles%\IE Security\Skins\MacMetal\Master.bmp
%ProgramFiles%\IE Security\Skins\MacMetal\Options.dat
%ProgramFiles%\IE Security\Skins\MacOS\Biclose.bmp
%ProgramFiles%\IE Security\Skins\MacOS\BIMAX.BMP
%ProgramFiles%\IE Security\Skins\MacOS\BIMIN.BMP
%ProgramFiles%\IE Security\Skins\MacOS\Master.bmp
%ProgramFiles%\IE Security\Skins\MacOS\Options.dat
%ProgramFiles%\IE Security\Skins\Neutral\Master.bmp
%ProgramFiles%\IE Security\Skins\Neutral\Options.dat
%ProgramFiles%\IE Security\Skins\Neutral2\Master.bmp
%ProgramFiles%\IE Security\Skins\Neutral2\Options.dat
%ProgramFiles%\IE Security\Skins\Neutral3\Master.bmp
%ProgramFiles%\IE Security\Skins\Neutral3\Options.dat
%ProgramFiles%\IE Security\Skins\NextAlpha\Master.bmp
%ProgramFiles%\IE Security\Skins\NextAlpha\Options.dat
%ProgramFiles%\IE Security\Skins\Office2003\Master.bmp
%ProgramFiles%\IE Security\Skins\Office2003\Options.dat
%ProgramFiles%\IE Security\Skins\Retro\Master.bmp
%ProgramFiles%\IE Security\Skins\Retro\Options.dat
%ProgramFiles%\IE Security\Skins\Retro\WOOD.JPG
%ProgramFiles%\IE Security\Skins\Sand\Master.bmp
%ProgramFiles%\IE Security\Skins\Sand\Options.dat
%ProgramFiles%\IE Security\Skins\TheFrog\Bg.jpg
%ProgramFiles%\IE Security\Skins\TheFrog\Master.bmp
%ProgramFiles%\IE Security\Skins\TheFrog\Options.dat
%ProgramFiles%\IE Security\Skins\Winter2003\BG.JPG
%ProgramFiles%\IE Security\Skins\Winter2003\Master.bmp
%ProgramFiles%\IE Security\Skins\Winter2003\Options.dat
%ProgramFiles%\IE Security\Skins\XPLuna\Master.bmp
%ProgramFiles%\IE Security\Skins\XPLuna\Options.dat
%ProgramFiles%\IE Security\Skins\XPSilver\Master.bmp
%ProgramFiles%\IE Security\Skins\XPSilver\Options.dat
%ProgramFiles%\IE Security\ssc.exe
%ProgramFiles%\IE Security\unins000.dat
%ProgramFiles%\IE Security\unins000.exe

Создаёт в реестре следующие подключи:

HKEY_CLASSES_ROOT\CLSID\{49E0E0F0-5C30-11D4-945D-000000000000}
HKEY_CLASSES_ROOT\iesecpro.IESecurity
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{49E0E0F0-5C30-11D4-945D-000000000000}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\Internet Explorer Security Pro_is1
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S SC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SSC
HKEY_LOCAL_MACHINE\SOFTWARE\IE Security



Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Отслеживает действия пользователя в Microsoft Internet Explorer
Источник: Symantec.com

Spyware.SysDetective

При установке создаёт следующие файлы:

%ProgramFiles%\Sys Detective+\file[(ДАТА)ММДДГГГГ][(ВРЕМЯ)ЧЧММСС].jpg
%ProgramFiles%\Sys Detective+\Makecab.exe
%ProgramFiles%\Sys Detective+\Manual\acehelp.htm
%ProgramFiles%\Sys Detective+\Manual\activating.htm
%ProgramFiles%\Sys Detective+\Manual\advance.htm
%ProgramFiles%\Sys Detective+\Manual\automatic_email.htm
%ProgramFiles%\Sys Detective+\Manual\capture.htm
%ProgramFiles%\Sys Detective+\Manual\contact_address.htm
%ProgramFiles%\Sys Detective+\Manual\edit_menu.htm
%ProgramFiles%\Sys Detective+\Manual\email_and_ftp_setting.htm
%ProgramFiles%\Sys Detective+\Manual\export_to_avi_window.htm
%ProgramFiles%\Sys Detective+\Manual\file_menu__save_as.htm
%ProgramFiles%\Sys Detective+\Manual\fpace.gif
%ProgramFiles%\Sys Detective+\Manual\help_menu.htm
%ProgramFiles%\Sys Detective+\Manual\index.htm
%ProgramFiles%\Sys Detective+\Manual\installing.htm
%ProgramFiles%\Sys Detective+\Manual\key_logging.htm
%ProgramFiles%\Sys Detective+\Manual\license_information.htm
%ProgramFiles%\Sys Detective+\Manual\main_browse_window.htm
%ProgramFiles%\Sys Detective+\Manual\menu.htm
%ProgramFiles%\Sys Detective+\Manual\pcspysoftware_logo.jpg
%ProgramFiles%\Sys Detective+\Manual\quick_start.htm
%ProgramFiles%\Sys Detective+\Manual\security.htm
%ProgramFiles%\Sys Detective+\Manual\slide_show.htm
%ProgramFiles%\Sys Detective+\Manual\style.css
%ProgramFiles%\Sys Detective+\Manual\tools_menu.htm
%ProgramFiles%\Sys Detective+\Manual\view_menu.htm
%ProgramFiles%\Sys Detective+\Manual\watch_list_window.htm
%ProgramFiles%\Sys Detective+\Manual\web_site_monitoring.htm
%ProgramFiles%\Sys Detective+\sysd.exe
%ProgramFiles%\Sys Detective+\unins000.dat
%ProgramFiles%\Sys Detective+\unins000.exe
%ProgramFiles%\Sys Detective+\__acelog.ndx
%System%\sd16win.dll
%System%\noaccess.htm
%System%\exclam.bmp



Создаёт пустые файлы:


%System%\ijl11.dll
%System%\KTKbdHk.dll
%System%\Msmapi32.ocx



Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте системы:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"regsvc" = "C:\Program Files\Sys Detective+\sysd"



Создаёт следующие подключи в реестре:


HKEY_ALL_USERS\Software\VB and VBA Program Settings\sysd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\Sys Detective+_is1



Также создаёт следующие пустые подключи:


HKEY_CLASSES_ROOT\Interface\{20C62CA2-15DA-101B-B9A8-444553540000}
HKEY_CLASSES_ROOT\Interface\{20C62CAD-15DA-101B-B9A8-444553540000}
HKEY_CLASSES_ROOT\Interface\{F49AC0B0-DF74-11CF-8E74-00A0C90F26F8}
HKEY_CLASSES_ROOT\Interface\{F49AC0B2-DF74-11CF-8E74-00A0C90F26F8}
HKEY_CLASSES_ROOT\MSMAPI.MAPIMessages
HKEY_CLASSES_ROOT\MSMAPI.MAPISession



Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Программа Sys Detective+, v2.3.5 от Indian Shareware Pro.

Функционал программы:


Скриншоты
Клавиатурный шпион
Сбор URL посещённых веб-сайтов
Закрытие окон с определёнными подстроками в названиях
Блокирование доступа к некоторым веб-сайтам
Отправка собранной информации по электронной почте или через FTP
Отправка электронного письма с оповещением о том, что пользователь набрал на клавиатуре определённое слово
Источник: Symantec.com

Troj/IBot-A
При старте копирует себя в "\mdm.exe".

Записывает ссылку на себя в разделы реестра, обеспечивающие автозагрузку при каждом запуске системы:


HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Microsoft Office = \mdm.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Microsoft Office = \mdm.exe



Отключает через реестр сервис DCOM: HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM=N

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Открывает на компьютере "чёрный ход", подключаясь к каналу на IRC-сервере для связи с атакующим.

Troj/DwnLdr-GXA
При запуске пытается внедрить свой код в новую копию svchost.exe.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Троянец-загрузчик. Загружает из интернета и выполняет другой вредоносный код: Mal/EncPk-C, Mal/Basine-A и Mal/Packer.

Troj/Enclag-A
При первом запуске копирует себя в C:\wsusupd.exe.

Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте системы:


HKLM\Software\Microsoft\Windows\CurrentVersion\Run \ShareSearcher=C:\wsusupd.exe

Записывает трафик и информацию о соединениях в файл %System%\SFList.exe и периодически загружает собранную информацию на FTP-сервер.

Может создавать следующие ключи реестра:


HKLM\Software\Microsoft\Windows\CurrentVersion\"UID"
HKLM\Software\Microsoft\Windows\CurrentVersion\"LSpc"
HKLM\Software\Microsoft\Windows\CurrentVersion\"NVS"

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Ведёт журнал сетевых соединений и трафика; периодически отсылает эту информацию на FTP-сервер атакующего.

Troj/Laqma-A
При первом запуске сохраняет себя как:

%System%\qm[СЛУЧАЙНЫЕ СИМВОЛЫ].exe
%System%\lanmanwrk.exe

Также создаёт файлы:

%System%\iexchg.dll
%System%\lanmandrv.sys
%System%\qmopt.dll
%System%\[ИСХОДНОЕ_ИМЯ_ФАЙЛА].jpg

Файл lanmandrv.sys также определяется как Troj/Laqma-A, и представляет собой руткит для сокрытия трояна в системе. Файл регистрируется как системный сервис "lanmandrv" с отображаемым именем "lanmandrv".
В реестре создаётся раздел "HKLM\SYSTEM\CurrentControlSet\Services\lanmandrv".

Может удалить из реестра ключ для предотвращения автозапуска ZwQueryService:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \ZwQueryService

Другое название вируса: Trojan-Downloader.Win32.Agent.bsh.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Найти и остановить сервис lanmandrv.
Действие
Загружает из интернета и выполняет дополнительный вредоносный код.

Ослабляет настройки безопасности системы.

Скрывает себя при помощи руткита.

Infostealer.Winotim

При запуске создаёт следующие файлы:

C:\l.dll
%ProgramFiles%\Common Files\WMI\.delll
%ProgramFiles%\Common Files\WMI\wminotify.dll



Также создаёт пустые файлы, которые могут быть впоследствии удалены:


%ProgramFiles%\Common Files\WMI\.sets
%ProgramFiles%\Common Files\WMI\.un
%ProgramFiles%\Common Files\WMI\dirs.idx
Файл ".idx" во всех директориях



Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте системы:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad\"WMI" = "{00954FA0-3B00-1FCC-00F3-040664009C02}"



Добавляет к процессу explorer.exe DLL-файл "%ProgramFiles%\Common Files\WMI\wminotify.dll" и перезагружает explorer.exe.

Собирает полный список файлов и директорий на всех доступных дисках и записывает их в "%ProgramFiles%\Common Files\WMI\dirs.idx". Может загружать некоторые из найденных файлов на FTP-сервер [ftp://]wgsmedia.net.


Список расширений файлов, интересующих трояна:


exe
dll
pif
doc
sys
hlp
avi
mp3
flv
zip
rar
gz
cab
chm
fon
ttf
cur
wav
gif
msi
mui
bmp



Загружает и выполняет файл [ftp://]wgsmedia.net/public_html/smarty/load[УДАЛЕНО].

Может также загружать файлы с командами атакующего с FTP-сервера [ftp://]wgsmedia.net.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Перехватывает сетевой трафик на захваченном компьютере и периодически отправляет его на удалённый FTP-сервер.
Открывает в системе "чёрный ход".
Загружает из интернета и выполняет дополнительный вредоносный код.
Источник: Symantec.com

Trojan.VBS.Envoy

Признаки:

При запуске троянец удаляет все файлы со всех логических дисков на зараженном компьютере кроме файлов с расширениями:

*.exe
*.com
*.dll

После чего в цикле отображает следующее сообщение:
http://images.kaspersky.com/ru/pictures/virus/21779773.png

Спокойно сносится антивирем.

Trojan.Farfli

Троян может попасть в систему со следующих URL: #UL [http://]install1.ring520.org/kk[УДАЛЕНО] [http://]install2.ring520.org/kk[УДАЛЕНО] [http://]install3.ring520.org/kk[УДАЛЕНО] [http://]install4.ring520.org/kk[УДАЛЕНО] #/UL При запуске записывает следующие файлы: #UL %SYSDIR%\[СЛУЧАЙНОЕ_ИМЯ].dll %SYSDIR%\drivers\[СЛУЧАЙНОЕ_ИМЯ_2].sys %SYSDIR%\drivers\[СЛУЧАЙНОЕ_ИМЯ_3].sys #/UL Создаёт файл: %UserProfile%\Favorites\[КИТАЙСКИЕ_СИМВОЛЫ].url Записывает в "Избранное" Microsoft Internet Explorer ссылку http://www.6781.com/?001. Создаёт следующие записи в реестре: #UL HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_[СЛУЧАЙНОЕ_ИМЯ_2] HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_[СЛУЧАЙНОЕ_ИМЯ_3] HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\[СЛУЧАЙНОЕ_ИМЯ_2] HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\[СЛУЧАЙНОЕ_ИМЯ_3] HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Cl ass\{8ECC055D-047F-11D1-A537-0000F8753ED1} HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_[СЛУЧАЙНОЕ_ИМЯ_2] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_[СЛУЧАЙНОЕ_ИМЯ_3] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\[СЛУЧАЙНОЕ_ИМЯ_2] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\[СЛУЧАЙНОЕ_ИМЯ_3] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IE4\"Main"= [СЛУЧАЙНОЕ_ИМЯ] #/UL Пытается загрузить файл с URL [http://]tmp.farfly.org/rpt[r[УДАЛЕНО]. Оповещает атакующего о факте захвата системы, подключаясь к URL [http://]tmp.farfly.org/tj/f3.[УДАЛЕНО]. Проверяет файл %Sysdir%\drivers\etc\hosts на предмет записей, содержащих следующие строки: #UL 9991. 2345. 7322. 7255. 6781. #/UL Меняет обозначение IP-адреса локальной машины со 127.0.0.1 на 127.0.0.2: #UL 127.0.0.2 localhost #/UL Устанавливает стартовую страницу Microsoft Internet Explorer на один из URL: #UL [http://]www.baidu.com/inde[УДАЛЕНО] [http://]www.kzdh.com[УДАЛЕНО] #/UL www.7255.com/?g about.blank.la?g
Защита
Троян может попасть в систему со следующих URL: #UL [http://]install1.ring520.org/kk[УДАЛЕНО] [http://]install2.ring520.org/kk[УДАЛЕНО] [http://]install3.ring520.org/kk[УДАЛЕНО] [http://]install4.ring520.org/kk[УДАЛЕНО] #/UL При запуске записывает следующие файлы: #UL %SYSDIR%\[СЛУЧАЙНОЕ_ИМЯ].dll %SYSDIR%\drivers\[СЛУЧАЙНОЕ_ИМЯ_2].sys %SYSDIR%\drivers\[СЛУЧАЙНОЕ_ИМЯ_3].sys #/UL Создаёт файл: %UserProfile%\Favorites\[КИТАЙСКИЕ_СИМВОЛЫ].url Записывает в "Избранное" Microsoft Internet Explorer ссылку http://www.6781.com/?001. Создаёт следующие записи в реестре: #UL HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_[СЛУЧАЙНОЕ_ИМЯ_2] HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_[СЛУЧАЙНОЕ_ИМЯ_3] HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\[СЛУЧАЙНОЕ_ИМЯ_2] HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\[СЛУЧАЙНОЕ_ИМЯ_3] HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Cl ass\{8ECC055D-047F-11D1-A537-0000F8753ED1} HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_[СЛУЧАЙНОЕ_ИМЯ_2] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_[СЛУЧАЙНОЕ_ИМЯ_3] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\[СЛУЧАЙНОЕ_ИМЯ_2] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\[СЛУЧАЙНОЕ_ИМЯ_3] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IE4\"Main"= [СЛУЧАЙНОЕ_ИМЯ] #/UL Пытается загрузить файл с URL [http://]tmp.farfly.org/rpt[r[УДАЛЕНО]. Оповещает атакующего о факте захвата системы, подключаясь к URL [http://]tmp.farfly.org/tj/f3.[УДАЛЕНО]. Проверяет файл %Sysdir%\drivers\etc\hosts на предмет записей, содержащих следующие строки: #UL 9991. 2345. 7322. 7255. 6781. #/UL Меняет обозначение IP-адреса локальной машины со 127.0.0.1 на 127.0.0.2: #UL 127.0.0.2 localhost #/UL Устанавливает стартовую страницу Microsoft Internet Explorer на один из URL: #UL [http://]www.baidu.com/inde[УДАЛЕНО] [http://]www.kzdh.com[УДАЛЕНО] www.7255.com/?g about.blank.la?g #/UL

Действие

Загружает в систему дополнительный вредоносный код; заменяет стартовую страницу Microsoft Internet Explorer.

Источник: Symantec.com

Troj/Agent-FZF

При первом запуске создаёт файл %System%\vyoaudx.dll. Файл определяется как Troj/SpamTh-Gen.

Создаёт в реестре запись, обеспечивающую автозагрузку при каждом запуске системы:


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\SharedTaskScheduler\{2C1CD3D7-86AC-4068-93BC-A02304B25319}="DCOM Server 25319"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\She llServiceObjectDelayLoad\"DCOM Server 25319"="{2C1CD3D7-86AC-4068-93BC-A02304B25319}"

Регистрирует файл vyoaudx.dll как COM-объект, создавая раздел реестра HKCR\CLSID\{2C1CD3D7-86AC-4068-93BC-A02304B25319}.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Открывает "чёрный ход", предоставляющий атакующему контроль над захваченной системой.

Trojan.Virantix

Использует мутекс {393921-e939391-3919139-3d3a738-11} для проверки наличия своей копии в памяти.

Копирует себя как %System%/WinAvX.exe.

Записывает ссылку на себя в разделы реестра, обеспечивающие автозагрузку после каждого запуска системы:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"WinAVX" = "%System%/WinAvX.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe %System%/WinAvX.exe"
HKEY_USERS\S-1-5-21-1961063573-973683775-492528769-500\Software\Microsoft\Windows\CurrentVersion\Run\"WinAVX" = "%System%/WinAvX.exe"



Меняет через реестр различные настройки безопасности интернета:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\"EnableBalloonTips" = "1"
HKEY_USERS\S-1-5-21-1961063573-973683775-492528769-500\Software\Microsoft\Internet Explorer\Main\"Enable Browser Extensions" = "yes"
HKEY_USERS\S-1-5-21-1961063573-973683775-492528769-500\Software\Microsoft\Internet Explorer\Main\"Search Bar" = "http://www.google.com/ie"
HKEY_USERS\S-1-5-21-1961063573-973683775-492528769-500\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\"EnableBalloonTips" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\Zones\0\"1208" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\Zones\0\"2500" = "3"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\Zones\0\"1201" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\Zones\0\"1804" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\Zones\1\"1208" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\Zones\1\"2500" = "3"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\Zones\2\"1208" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\Zones\2\"2500" = "3"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\Zones\2\"1201" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\Zones\2\"1804" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\Zones\3\"1208" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\Zones\3\"2500" = "3"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\Zones\3\"1201" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\Zones\4\"1208" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\Zones\4\"2500" = "3"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\Zones\4\"1200" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\Zones\4\"1201" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\Zones\4\"1608" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\Zones\4\"1804" = "1"

Отключает через реестр некоторые системные инструменты и ослабляет настройки системы:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer\"NoControlPanel" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\system\"DisableRegistryTools" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\system\"DisableTaskMgr" = "1"
HKEY_USERS\S-1-5-21-1961063573-973683775-492528769-500\Software\Microsoft\Windows\CurrentVersion\Poli cies\Explorer\"NoControlPanel" = "1"
HKEY_USERS\S-1-5-21-1961063573-973683775-492528769-500\Software\Microsoft\Windows\CurrentVersion\Poli cies\Explorer\"NoWindowsUpdate" = "1"
HKEY_USERS\S-1-5-21-1961063573-973683775-492528769-500\Software\Microsoft\Windows\CurrentVersion\Poli cies\system\"DisableRegistryTools" = "1"
HKEY_USERS\S-1-5-21-1961063573-973683775-492528769-500\Software\Microsoft\Windows\CurrentVersion\Poli cies\system\"DisableTaskMgr" = "1"



Модифицирует через реестр настройки Windows Firewall:


HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S haredAccess\Parameters\FirewallPolicy\DomainProfil e\AuthorizedApplications\List\"%Windir%\system32\winav.exe" = "%Windir%\system32\winav.exe:*:Enabled:@xpsp2res.dl l,-22019"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List\"%Windir%\system32\winav.exe" = "%Windir%\system32\winav.exe:*:Enabled:@xpsp2res.dl l,-22019"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\S haredAccess\Parameters\FirewallPolicy\DomainProfil e\AuthorizedApplications\List\"%Windir%\system32\winav.exe" = "%Windir%\system32\winav.exe:*:Enabled:@xpsp2res.dl l,-22019"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\S haredAccess\Parameters\FirewallPolicy\StandardProf ile\AuthorizedApplications\List\"%Windir%\system32\winav.exe" = "%Windir%\system32\winav.exe:*:Enabled:@xpsp2res.dl l,-22019"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\DomainPr ofile\AuthorizedApplications\List\"%Windir%\system32\winav.exe" = "%Windir%\system32\winav.exe:*:Enabled:@xpsp2res.dl l,-22019"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile\AuthorizedApplications\List\"%Windir%\system32\winav.exe" = "%Windir%\system32\winav.exe:*:Enabled:@xpsp2res.dl l,-22019"

Заменяет поисковый URL, страницу поиска и URL поиска в Microsoft Internet Explorer:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\"Default_Search_URL" = "http://www.google.com/ie"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\"Search Page" = "http://www.google.com"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\"Start Page" = "http://www.google.com"
HKEY_USERS\S-1-5-21-1961063573-973683775-492528769-500\Software\Microsoft\Internet Explorer\Main\"Start Page" = "http://www.google.com"
HKEY_USERS\S-1-5-21-1961063573-973683775-492528769-500\Software\Microsoft\Internet Explorer\Main\"Search Page" = "http://www.google.com"



Модифицирует следующие ключи реестра:


HKEY_LOCAL_MACHINE\SOFTWARE\Classes\gopher\shell\o pen\command\"@" = ""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HTTP\shell\ope n\command\"@" = ""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\https\shell\op en\command\"@" = ""C:\Program Files\Internet Explorer\iexplore.exe" %1"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S haredAccess\Epoch\"Epoch" = "0x000027B0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Epoch\"Epoch" = "0x000027B0"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.shtml\"@" = "htmlfile"



Каждые 5 минут отображает сообщение об угрозе spyware:

Заголовок: Windows Security Alert Сообщение:

Warning! Potential Spyware Operation!

Your computer is making unauthorized copies of your system and
Internet files. Run full scan now to pervent any unathorised access
to your files! Click here to download spyware remover ...


Может отображать сообщение о том, что компьютер заражен, в течение 4 минут после запуска системы:

Your computer is infected!

Подключается к URL:

[http://]go.winantivirus.com/MTY2NjU=/2/6018/ax=0/ed=1/ex=1/1[УДАЛЕНО].

Периодически пытается открыть URL и загрузить оттуда файлы:


[http://]freerealitympegs.com/movie/23/293/1[УДАЛЕНО]
[http://]freerealitympegs.com/movie/21/293/1[УДАЛЕНО]
[http://]freerealitympegs.com/movie/20/293/1[УДАЛЕНО]
[http://]freerealitympegs.com/movie/33/293/1[УДАЛЕНО]
[http://]freerealitympegs.com/movie/17/293/1[УДАЛЕНО]
[http://]freerealitympegs.com/movie/16/293/1[УДАЛЕНО]
[http://]freerealitympegs.com/movie/13/293/1[УДАЛЕНО]
[http://]freerealitympegs.com/movie/28/293/1[УДАЛЕНО]
[http://]freerealitympegs.com/movie/32/293/1[УДАЛЕНО]
[http://]freerealitympegs.com/movie/39/293/1[УДАЛЕНО]
[http://]freerealitympegs.com/movie/6/293/1[УДАЛЕНО]
[http://]freerealitympegs.com/movie/25/293/1[УДАЛЕНО]
[http://]freerealitympegs.com/movie/34/293/1[УДАЛЕНО]
[http://]freerealitympegs.com/movie/4/293/1[УДАЛЕНО]
[http://]freerealitympegs.com/movie/3/293/1[УДАЛЕНО]
[http://]freerealitympegs.com/movie/24/293/1[УДАЛЕНО]
[http://]freerealitympegs.com/movie/2/293/1[УДАЛЕНО]



Отключает доступ к сайтам антивирусных компаний, баннерной рекламы и обновлению Windows. Для этого сопоставляет имена этих сайтов локальному IP-адресу 192.168.200.3 в файле %System%\drivers\etc\hosts:


192.168.200.3 ad.doubleclick.net
192.168.200.3 ad.fastclick.net
192.168.200.3 ads.fastclick.net
192.168.200.3 ar.atwola.com
192.168.200.3 atdmt.com
192.168.200.3 avp.ch
192.168.200.3 avp.com
192.168.200.3 avp.ru
192.168.200.3 awaps.net
192.168.200.3 banner.fastclick.net
192.168.200.3 banners.fastclick.net
192.168.200.3 ca.com
192.168.200.3 click.atdmt.com
192.168.200.3 clicks.atdmt.com
192.168.200.3 customer.symantec.com
192.168.200.3 dispatch.mcafee.com
192.168.200.3 download.mcafee.com
192.168.200.3 download.microsoft.com
192.168.200.3 downloads-us1.kaspersky-labs.com
192.168.200.3 downloads-us2.kaspersky-labs.com
192.168.200.3 downloads-us3.kaspersky-labs.com
192.168.200.3 downloads.microsoft.com
192.168.200.3 downloads1.kaspersky-labs.com
192.168.200.3 downloads2.kaspersky-labs.com
192.168.200.3 downloads3.kaspersky-labs.com
192.168.200.3 downloads4.kaspersky-labs.com
192.168.200.3 engine.awaps.net
192.168.200.3 f-secure.com
192.168.200.3 fastclick.net
192.168.200.3 ftp.avp.ch
192.168.200.3 ftp.downloads1.kaspersky-labs.com
192.168.200.3 ftp.downloads2.kaspersky-labs.com
192.168.200.3 ftp.downloads3.kaspersky-labs.com
192.168.200.3 ftp.f-secure.com
192.168.200.3 ftp.kasperskylab.ru
192.168.200.3 ftp.sophos.com
192.168.200.3 go.microsoft.com
192.168.200.3 ids.kaspersky-labs.com
192.168.200.3 kaspersky-labs.com
192.168.200.3 kaspersky.com
192.168.200.3 liveupdate.symantec.com
192.168.200.3 liveupdate.symantecliveupdate.com
192.168.200.3 mast.mcafee.com
192.168.200.3 mcafee.com
192.168.200.3 media.fastclick.net
192.168.200.3 microsoft.com
192.168.200.3 msdn.microsoft.com
192.168.200.3 my-etrust.com
192.168.200.3 nai.com
192.168.200.3 networkassociates.com
192.168.200.3 norton.com
192.168.200.3 office.microsoft.com
192.168.200.3 pandasoftware.com
192.168.200.3 phx.corporate-ir.net
192.168.200.3 rads.mcafee.com
192.168.200.3 secure.nai.com
192.168.200.3 securityresponse.symantec.com
192.168.200.3 service1.symantec.com
192.168.200.3 sophos.com
192.168.200.3 spd.atdmt.com
192.168.200.3 support.microsoft.com
192.168.200.3 symantec.com
192.168.200.3 trendmicro.com
192.168.200.3 update.symantec.com
192.168.200.3 updates.symantec.com
192.168.200.3 updates1.kaspersky-labs.com
192.168.200.3 updates2.kaspersky-labs.com
192.168.200.3 updates3.kaspersky-labs.com
192.168.200.3 updates4.kaspersky-labs.com
192.168.200.3 updates5.kaspersky-labs.com
192.168.200.3 us.mcafee.com
192.168.200.3 vil.nai.com
192.168.200.3 viruslist.com
192.168.200.3 viruslist.ru
192.168.200.3 virusscan.jotti.org
192.168.200.3 virustotal.com
192.168.200.3 windowsupdate.microsoft.com
192.168.200.3 www.avp.ch
192.168.200.3 www.avp.com
192.168.200.3 www.avp.ru
192.168.200.3 www.awaps.net
192.168.200.3 www.ca.com
192.168.200.3 www.f-secure.com
192.168.200.3 www.fastclick.net
192.168.200.3 www.grisoft.com
192.168.200.3 www.kaspersky-labs.com
192.168.200.3 www.kaspersky.com
192.168.200.3 www.kaspersky.ru
192.168.200.3 www.mcafee.com
192.168.200.3 www.microsoft.com
192.168.200.3 www.my-etrust.com
192.168.200.3 www.nai.com
192.168.200.3 www.networkassociates.com
192.168.200.3 www.pandasoftware.com
192.168.200.3 www.sophos.com
192.168.200.3 www.symantec.com
192.168.200.3 www.symantec.com
192.168.200.3 www.trendmicro.com
192.168.200.3 www.viruslist.com
192.168.200.3 www.viruslist.ru
192.168.200.3 www.virustotal.com
192.168.200.3 www3.ca.com



Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Удалить из файла %System%\drivers\etc\hosts записи, блокирующие доступ к обновлениям антивирусных сайтов
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Может загружать из интернета и выполнять дополнительный вредоносный код; ослабляет настройки безопасности системы, блокирует доступ к обновлениям антивирусов и Windows.

Источник: Symantec.com

W32.Deletemusic

При первом запуске создаёт файлы:

%System%\config\csrss.exe
%Windir%\media\arena.exe
%System%\logon.bat
%System%\config\autorun.inf



Копирует себя в корни всех дисков под именем csrss.exe; там же создаёт файл автозапуска autorun.inf, содержащий ссылку на csrss.exe.

Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте Windows:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce\"Worms" = "C:\WINDOWS\system32\logon.bat"



Через реестр удаляет из меню "Настройка" пункт "Свойства папки", а также запрещает доступ к Диспетчеру задач:


HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentV ersion\Policies\Explorer\"NoFolderOptions" = "1"
HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentV ersion\Policies\System\"DisableTaskMgr" = "1"



Удаляет на всех дисках файлы с расширением MP3.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Распространяется копированием себя на все доступные диски; удаляет с компьютера все MP3-файлы.
Источник: Symantec.com

W32.Falsu.E

При первом запуске создаёт файлы:


%Windir%\Win.exe
%Windir%\Winini.scr
%Windir%\msfck.exe
%Windir%\mswin32.exe
%Windir%\winlog.pif
%Windir%\sysreset.scr
%Windir%\sysoff.pif
%Windir%\taskbar.exe
%Windir%\tasker.pif
%Windir%\thefuck.scr
%Windir%\lsass.exe
[ДИРЕКТОРИЯ mIRC]\macbet.mrc



Записывает ссылку на себя в реестр, обеспечивая автозагрузку при каждом запуске Windows:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"WinExec"="%Windir%\lsass.exe"



Создает в директории загрузок mIRC файл:


[ДИРЕКТОРИЯ mIRC]\download\fotos.jpg.pif



Если директории download нет, создаёт следующий файл:


[ДИРЕКТОРИЯ MIRC]\porn_in_msn.txt.pif



Изменяет настройки IRC-клиента mIRC (файл [ДИРЕКТОРИЯ MIRC]\mirc.ini).

Создаёт свои копии в директории %Windir\Share:


%Windir%\Share\blazilian_girls.scr
%Windir%\Share\my_sister_fucking.pif
%Windir%\Share\sex_in_the_city.scr
%Windir%\Share\keygen_winxp.exe
%Windir%\Share\crack_adobe_acrobat_7.exe
%Windir%\Share\keygen_WinVista.exe
%Windir%\Share\rack_activation_winxp.exe
%Windir%\Share\keygen_zonealarm.exe
%Windir%\Share\dvdcopy_crack.exe
%Windir%\Share\wwwhack_patch.exe
%Windir%\Share\winme_changes.pif
%Windir%\Share\win_9x_commands.pif
%Windir%\Share\adobe_golive_keygen.pif
%Windir%\Share\delphi2005_crack.pif
%Windir%\Share\delphi8_torrent.pif
%Windir%\Share\isualbasic_crack.pif
%Windir%\Share\winrar_patch.pif
%Windir%\Share\wwwfileshare.scr
%Windir%\Share\netbus_crack.scr



Открывает через реестр доступ к вышеуказанной директории для P2P-клиентов Kazaa, а также отключает некоторые настройки Kazaa:


HKEY_CURRENT_USER\Software\Kazaa\LocalContent\"DisableSharing" = "0"
HKEY_CURRENT_USER\Software\Kazaa\LocalContent\"dir0" = "012345:%Windri%%Windri%\Share"
HKEY_CURRENT_USER\Software\Kazaa\LocalContent\"dir1" = "012345:C:\"
HKEY_CURRENT_USER\Software\Kazaa\LocalContent\"dir2" = "012345:%Windri%%Windri%\Share"
HKEY_CURRENT_USER\Software\Kazaa\LocalContent\"dir3" = "012345:C:\"
HKEY_CURRENT_USER\Software\Kazaa\ResultsFilter\"virus_filter" = "0"
HKEY_CURRENT_USER\Software\Kazaa\ResultsFilter\"firewall_filter" = "0"



Загружает трояна Infostealer.Bancos с трёх URL, начинающихся с [http://]megahost2.pisem.su/imgfree/skybi.

В случае успеха сохраняет полученные файлы как


%System%\svchosts.dll
%System%\svchostss.exe
%System%\winexenet.exe



Завершает процессы, принадлежащие файлам, содержащим в именах следующие строки и подстроки:


avp32.exe
avpmon.exe
zonealarm.exe
vshwin32.exe
vet95.exe
tbscan.exe
serv95.exe
Nspclean.exe
clrav.com
scan32.exe
rav7.exe
navw.exe
outpost.exe
nmain.exe
navnt.exe
mpftray.exe
lockdown2000.exe
icssuppnt.exe
icload95.exe
iamapp.exe
findviru.exe
f - agnt95.exe
dv95.exe
dv95_o.exe
claw95ct.exe
cfiaudit.exe
avwupd32.exe
avptc32.exe
_avp32.exe
avgctrl.exe
apvxdwin.exe
_avpcc.exe
avpcc.exe
wfindv32.exe
vsecomr.exe
tds2 - nt.exe
sweep95.exe
EFINET32.EXE
scrscan.exe
safeweb.exe
persfw.exe
navsched.exe
nvc95.exe
nisum.exe
navlu32.exe
ALOGSERV
AMON9X
AVGSERV9
AVGW
avkpop
avkservice
AvkServ
avkwctl9
AVXMONITOR9X
AVXMONITORNT
AVXQUAR
moolive.exe
jed.exe
icsupp95.exe
ibmavsp.exe
frw.exe
f - stopw.exe
espwatch.exe
procexp
filemon.exe
regmon.exe
dvp95.exe
cfiadmin.exe
avwin95.exe
avpm.exe
avp.exe
ave32.exe
anti - trojan.exe
webscan.exe
webscanx.exe
vsscan40.exe
tds2 - 98. exe
SymProxySvc
SYMTRAY
TAUMON
TCM
TDS - 3
TFAK
vbcmserv
VbCons
VIR - HELP
VPC32
VPTRAY
VSMAIN
vsmon
WIMMUN32
WGFE95
WEBTRAP
WATCHDOG
WrAdmin
sphinx.exe
scanpm.exe
rescue.exe
pcfwallicon.exe
pavcl.exe
nupgrade.exe
navwnt.exe
navapw32.exe
luall.exe
iomon98.exe
icmoon.exe
fprot.exe
f - prot95.exe
esafe.exe
cleaner3.exe
IBMASN.EXE
AVXW
cfgWiz
CMGRDIAN
CONNECTIONMONITOR
CPDClnt
DEFWATCH
CTRL
defalert
defscangui
DOORS
EFPEADM
ETRUSTCIPE
EVPN
EXPERT
fameh32
fch32
fih32
blackice.exe
avsched32.exe
avpdos32.exe
avpnt.exe
avconsol.exe
ackwin32.exe
NWTOOL16
pccwin97
PROGRAMAUDITOR
POP3TRAP
PROCESSMONITOR
PORTMONITOR
POPROXY
pcscan
pcntmon
pavproxy
PADMIN
pview95
rapapp.exe
REALMON
RTVSCN95
vsstat.exe
vettray.exe
tca.exe
smc.exe
scan95.exe
rav7win.exe
pccwin98.exe
KPFW32.EXE
ADVXDWIN
padmin.exe
normist.exe
navw32.exe
n32scan.exe
lookout.exe
iface.exe
icloadnt.exe
SPYXX
SS3EDIT
SweepNet
iamserv.exe
fp - win.exe
f - prot.exe
ecengine.exe
cleaner.exe
cfind.exe
blackd.exe
RULAUNCH
sbserv
SWNETSUP
WrCtrl
avpupd.exe
avkserv.exe
autodown.exe
_avpm.exe
AvpM.exe
regedit.exe
msconfig.exe
FPROT95.EXE
sfc.exe
regedt32.exe
offguard.exe
pav.exe
pavmail.exe
per.exe
perd.exe
pertsk.exe
perupd.exe
pervac.exe
pervacd.exe
th.exe
th32.exe
th32upd.exe
thav.exe
thd.exe
thd32.exe
thmail.exe
alertsvc.exe
amon.exe
kpf.exe
antivir
avsynmgr.exe
cfinet.exe
cfinet32.exe
icmon.exe
lockdownadvanced.exe
lucomserver.exe
mcafee
navapsvc.exe
navrunr.exe
nisserv.exe
nsched32.exe
pcciomon.exe
pccmain.exe
pview95.exe
Avnt.exe
Claw95cf.exe
Dvp95_0.exe
Vscan40.exe
Icsuppnt.exe
Jedi.exe
N32scanw.exe
Pavsched.exe
Pavw.exe
Avrep32.exe
Monitor.exe
fsgk32
fsm32
fsma32
fsmb32
gbmenu
GBPOLL
GENERICS
GUARD
IAMSTATS
ISRV95
LDPROMENU
LDSCAN
LUSPT
MCMNHDLR
MCTOOL
MCUPDATE
MCVSRTE
MGHTML
MINILOG
MCVSSHLD
MCAGENT
MPFSERVICE
MWATCH
NeoWatchLog
NVSVC32
NWService
NTXconfig
NTVDM
ntrtscan
npssvc
npscheck
netutils
ndd32
NAVENGNAVEX15
notstart.exe
zapro.exe
pqremove.com
BullGuard
CCAPP.EXE
vet98.exe
VET32.EXE
VCONTROL.EXE
claw95.exe
ANTS
ATCON
ATUPDATER
ATWATCH
AutoTrace
AVGCC32
AvgServ
AVWINNT
fnrb32
fsaa
fsav32
ZAP.EXE
ZAPD.EXE
ZAPPRG.EXE
ZAPS.EXE
ZCAP.EXE
pfwagent.exe
pfwcon.exe
zlclient.exe



Пытается распространяться через mIRC в файле porn_in_msn.txt.pif, обращаясь к пользователям со словами "Hutley i'm here!".

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Распространяется через mIRC, предлагая себя пользователям как файл, а также через файлообменную сеть Kazaa, открывая директорию %Windows%\Share для общего доступа из этой сети.

Загружает и выполняет Infostealer.Bancos.

Завершает антивирусные процессы.

Источник: Symantec.com

W32.Romariory@mm

При первом запуске копирует себя под следующими именами:


%Windir%\winlogon.exe
%System%\msvbvm60.dll.exe
C:\explorer.exe
%UserProfile%\Application Data\Emma.exe
%UserProfile%\Application Data\Alisa.exe
%UserProfile%\My Documents\Mario Bross.exe
%UserProfile%\My Documents\Solitaire Card.exe
%UserProfile%\My Documents\Minesweeper.exe
%System%\PANGKALP1NANG.EXE
%System%\SMUNSA_PKP_GAME.EXE
C:\Documents and Settings\All Users\Documents\Bola Pantul.exe
C:\Documents and Settings\All Users\Documents\MyHearts.exe
C:\Documents and Settings\All Users\Documents\FreeCard.exe
%SystemDrive%\Game\Minesweeper.exe
%SystemDrive%\Game\My Heart.exe
%SystemDrive%\Game\Bola.exe
%SystemDrive%\Game\Kartu.exe
%SystemDrive%\Game\Legend.exe
%SystemDrive%\Game\Smart.exe
%SystemDrive%\Game\Crazy Mouse.exe
%SystemDrive%\Game\Text Animation.exe
%SystemDrive%\Game\Pink Panther.exe
%SystemDrive%\Game\Start Hide.exe
%SystemDrive%\Game\XP Button.exe
%SystemDrive%\Game\Goncang.exe
%SystemDrive%\Game\Kelap Kelip.exe
%SystemDrive%\Game\Layar Jatuh.exe
%SystemDrive%\Game\Dark Screen.exe
%SystemDrive%\Mario.exe
%UserProfile%\Application Data\Emira.ini
%UserProfile%\Application Data\Aliciana.htt



Создаёт следующие файлы:


%Windir%\Tasks\At1.job (задача для ежедневного запуска по расписанию)
%Temp%\inf[СЛУЧАЙНЫЕ_СИМВОЛЫ].tmp (чистая копия игры Super Mario Brothers)
C:\Program Files\mario.exe (чистая копия игры Super Mario Brothers)
%SystemDrive%\xplorer.exe
%SystemDrive%\desktop.ini
%SystemDrive%\Alicia.htt



Добавляет ссылки на себя в раздел реестра, обеспечивающий автозапуск приложений при каждом старте Windows:


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\"wptkjzmep" = "%Windir%\winlogon.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"SmansaApp" = "%Windir%\winlogon.exe"



Модифицирует ключи реестра, обеспечивающие автозапуск при каждом старте Windows:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "explorer.exe "C:\explorer.exe""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "%System%\userinit.exe, C:\explorer.exe"



Устанавливает себя через реестр в качестве приложения, обеспечивающего запуск исполняемых файлов .bat, .com, .pif, and .scr:


HKEY_LOCAL_MACHINE\SOFTWARE\Classes\movfile\shell\ open\command\"(Default)" = "C:\explorer.exe" "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MPEG File\shell\open\command\"(Default)" = "C:\explorer.exe" "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\shell\ open\command\"(Default)" = "C:\explorer.exe" "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\ open\command\"(Default)" = "C:\explorer.exe" "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\ open\command\"(Default)" = "C:\explorer.exe" "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\ open\command\"(Default)" = "C:\explorer.exe" "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\ open\command\"(Default)" = "C:\explorer.exe" "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\ open\command\"(Default)" = "C:\explorer.exe" "%1" %*"



Ослабляет через реестр настройки безопасности системы:


HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows NT\SystemRestore\"DisableConfig" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows NT\SystemRestore\"DisableSR" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\SuperHidden\"UncheckedValue" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\SuperHidden\"CheckedValue" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\SuperHidden\"DefaultValue" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\CabinetState\"FullPath" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\CabinetState\"FullPathAddress" = "1"



Устанавливает через реестр стартовую страницу Internet Explorer на статью в Wikipedia об игре "Front Mission 3":


HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page" = "http://en.wikipedia.org/wiki/Front_Mission_3"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\"Start Page" = "http://en.wikipedia.org/wiki/Front_Mission_3"



Создаёт в реестре записи, позволяющие ему запускаться в "Безопасном режиме":


HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot\"AlternateShell" = "C:\explorer.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Sa feBoot\"AlternateShell" = "C:\explorer.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Sa feBoot\"AlternateShell" = "C:\explorer.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\"AlternateShell" = "C:\explorer.exe"



Модифицирует в реестре следующие записи:


HKEY_CURRENT_USER\Control Panel\International\"sCountry" = "Mr[УДАЛЕНО]"
HKEY_CURRENT_USER\Control Panel\International\"sCurrency" = "Mr[УДАЛЕНО]"
HKEY_CURRENT_USER\Control Panel\International\"s1159" = "C++"
HKEY_CURRENT_USER\Control Panel\International\"s2359" = "C++"
HKEY_CURRENT_USER\Software\Microsoft\MS Setup (ACME)\User Info\"DefCompany" = "Mr[УДАЛЕНО]"
HKEY_CURRENT_USER\Software\Microsoft\MS Setup (ACME)\User Info\"DefName" = "Mr[УДАЛЕНО]"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\"BackBitmapShell" = "C:\WINDOWS\Web\Wallpaper\Bliss.bmp"



Копирует себя на съёмные, сетевые и совместно используемые диски под именами:


\Game\Minesweeper.exe
\Game\My Heart.exe
\Game\Bola.exe
\Game\Kartu.exe
\Game\Legend.exe
\Game\Smart.exe
\Game\Crazy Mouse.exe
\Game\Text Animation.exe
\Game\Pink Panther.exe
\Game\Start Hide.exe
\Game\XP Button.exe
\Game\Goncang.exe
\Game\Kelap Kelip.exe
\Game\Layar Jatuh.exe
\Game\Dark Screen.exe
\Mario.exe
\xplorer.exe
\Alicia.htt
\desktop.ini



Использует стандартные функции Windows (MAPI) для рассылки своих копий по электронной почте.
Тема письма берётся случайным образом из одной из тем писем в почтовом ящике пользователя.
Тело письма предлагает поиграть в игру Mario Brothers, прикреплённую во вложении:
"Hi There, Do You Like Mario Bross ? Test it, and you'll like it ;] !".

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Распространяется копированием себя на съёмные диски, совместно используемые сетевые ресурсы, а также рассылает себя по электронной почте.

Ослабляет настройки безопасности системы.

Маскирует себя под игру Super Mario Brothers (содержит копию игры.

Псевдонимы: W32/Romario-A [Sophos], W32/Romario@M [McAfee]

Источник: Symantec.com

W32/Sdbot-DFO

При запуске копирует себя в системную директорию Windows (%System%) под именем alg32.exe.

Записывает ссылку на себя в разделы реестра, обеспечивающие автозагрузку при каждом запуске Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \"Office Monitor" = "%System%\alg32.exe" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \"Office Monitor" = "%System%\alg32.exe"

Отключает сервис DCOM:

HKLM\SOFTWARE\Microsoft\Ole\"EnableDCOM" = "N".

Подключается к IRC-серверу для приёма команд от атакующего.

Может связываться с удалённым сервером по HTTP.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Открывает "чёрный ход" на захваченном компьютере, подключаясь к IRC-серверу.

PCCleaner

Приложение устанавливается пользователем вручную.

Сканирует систему и выводит отчёт о несуществующих угрозах, предлагая купить зарегистрированную версию для их удаления.

При инсталляции создаёт следующие файлы:


C:\Documents and Settings\All Users\Start Menu\Programs\PCCleaner2007\PCCleaner2007.lnk
C:\Documents and Settings\All Users\Start Menu\Programs\PCCleaner2007\Uninstall PCCleaner2007.lnk
%ProgramFiles%\PCCleaner2007\Appbase\AE_CD_Cr.dat
%ProgramFiles%\PCCleaner2007\Appbase\AReadr4.dat
%ProgramFiles%\PCCleaner2007\Appbase\AReadr5.dat
%ProgramFiles%\PCCleaner2007\Appbase\ASDSEEpv.dat
%ProgramFiles%\PCCleaner2007\Appbase\ASPack.dat
%ProgramFiles%\PCCleaner2007\Appbase\Babylon.dat
%ProgramFiles%\PCCleaner2007\Appbase\BDelphi5.dat
%ProgramFiles%\PCCleaner2007\Appbase\CatchUp.dat
%ProgramFiles%\PCCleaner2007\Appbase\CBuildr5.dat
%ProgramFiles%\PCCleaner2007\Appbase\CCGA.dat
%ProgramFiles%\PCCleaner2007\Appbase\CManager.dat
%ProgramFiles%\PCCleaner2007\Appbase\CuteFTP4.dat
%ProgramFiles%\PCCleaner2007\Appbase\CuteHTML.dat
%ProgramFiles%\PCCleaner2007\Appbase\DAcceler.dat
%ProgramFiles%\PCCleaner2007\Appbase\DiscJug.dat
%ProgramFiles%\PCCleaner2007\Appbase\ECDCreat4.dat
%ProgramFiles%\PCCleaner2007\Appbase\Far.dat
%ProgramFiles%\PCCleaner2007\Appbase\FlashFXP.dat
%ProgramFiles%\PCCleaner2007\Appbase\FrntPage.dat
%ProgramFiles%\PCCleaner2007\Appbase\FrontPEx.dat
%ProgramFiles%\PCCleaner2007\Appbase\FtpEXP.dat
%ProgramFiles%\PCCleaner2007\Appbase\FtpVoya.dat
%ProgramFiles%\PCCleaner2007\Appbase\GetRight.dat
%ProgramFiles%\PCCleaner2007\Appbase\GoZilla.dat
%ProgramFiles%\PCCleaner2007\Appbase\GravMRU.dat
%ProgramFiles%\PCCleaner2007\Appbase\HomeSite.dat
%ProgramFiles%\PCCleaner2007\Appbase\HotDogPr.dat
%ProgramFiles%\PCCleaner2007\Appbase\H_TxtPad.dat
%ProgramFiles%\PCCleaner2007\Appbase\IconExtr.dat
%ProgramFiles%\PCCleaner2007\Appbase\iMesh.dat
%ProgramFiles%\PCCleaner2007\Appbase\ImgReady3.dat
%ProgramFiles%\PCCleaner2007\Appbase\InsShExp.dat
%ProgramFiles%\PCCleaner2007\Appbase\JASC_P_P.dat
%ProgramFiles%\PCCleaner2007\Appbase\KaZaA.dat
%ProgramFiles%\PCCleaner2007\Appbase\LView.dat
%ProgramFiles%\PCCleaner2007\Appbase\MacDir.dat
%ProgramFiles%\PCCleaner2007\Appbase\MacDrWea.dat
%ProgramFiles%\PCCleaner2007\Appbase\MicAng.dat
%ProgramFiles%\PCCleaner2007\Appbase\MicDes.dat
%ProgramFiles%\PCCleaner2007\Appbase\MMUnDisk.dat
%ProgramFiles%\PCCleaner2007\Appbase\MM_CON.dat
%ProgramFiles%\PCCleaner2007\Appbase\Morpheus.dat
%ProgramFiles%\PCCleaner2007\Appbase\MPaint.dat
%ProgramFiles%\PCCleaner2007\Appbase\MPicPub.dat
%ProgramFiles%\PCCleaner2007\Appbase\MPImaGal.dat
%ProgramFiles%\PCCleaner2007\Appbase\MSExplorer.da t
%ProgramFiles%\PCCleaner2007\Appbase\MSoffice.dat
%ProgramFiles%\PCCleaner2007\Appbase\MSRegEdit.dat
%ProgramFiles%\PCCleaner2007\Appbase\MSWMP.dat
%ProgramFiles%\PCCleaner2007\Appbase\MSWordPad.dat
%ProgramFiles%\PCCleaner2007\Appbase\Nero.dat
%ProgramFiles%\PCCleaner2007\Appbase\NetShow.dat
%ProgramFiles%\PCCleaner2007\Appbase\NTBackup.dat
%ProgramFiles%\PCCleaner2007\Appbase\pfilelst.xda
%ProgramFiles%\PCCleaner2007\Appbase\PhotShel.dat
%ProgramFiles%\PCCleaner2007\Appbase\PHPCoder.dat
%ProgramFiles%\PCCleaner2007\Appbase\PowerZIP.dat
%ProgramFiles%\PCCleaner2007\Appbase\RapidBr.dat
%ProgramFiles%\PCCleaner2007\Appbase\RealAuPl.dat
%ProgramFiles%\PCCleaner2007\Appbase\RealDown.dat
%ProgramFiles%\PCCleaner2007\Appbase\SecurCRT.dat
%ProgramFiles%\PCCleaner2007\Appbase\SL_BlWin.dat
%ProgramFiles%\PCCleaner2007\Appbase\SmartClr.dat
%ProgramFiles%\PCCleaner2007\Appbase\Sonique.dat
%ProgramFiles%\PCCleaner2007\Appbase\StuffIt.dat
%ProgramFiles%\PCCleaner2007\Appbase\TelepPro.dat
%ProgramFiles%\PCCleaner2007\Appbase\UGifAnim.dat
%ProgramFiles%\PCCleaner2007\Appbase\UltraEd.dat
%ProgramFiles%\PCCleaner2007\Appbase\UMedStud.dat
%ProgramFiles%\PCCleaner2007\Appbase\UPhImpV.dat
%ProgramFiles%\PCCleaner2007\Appbase\UPhotoEx.dat
%ProgramFiles%\PCCleaner2007\Appbase\UVidStud.dat
%ProgramFiles%\PCCleaner2007\Appbase\VNC.dat
%ProgramFiles%\PCCleaner2007\Appbase\WebFeret.dat
%ProgramFiles%\PCCleaner2007\Appbase\WebReap.dat
%ProgramFiles%\PCCleaner2007\Appbase\WinACE.dat
%ProgramFiles%\PCCleaner2007\Appbase\WinGate.dat
%ProgramFiles%\PCCleaner2007\Appbase\WiseInst.dat
%ProgramFiles%\PCCleaner2007\Appbase\wordslst.xda
%ProgramFiles%\PCCleaner2007\Appbase\YahooPl.dat
%ProgramFiles%\PCCleaner2007\Appbase\YahooPl2.dat
%ProgramFiles%\PCCleaner2007\Appbase\YahooPl3.dat
%ProgramFiles%\PCCleaner2007\Appbase\ZipMagic.dat
%ProgramFiles%\PCCleaner2007\lang\en_applications. lng
%ProgramFiles%\PCCleaner2007\lang\en_browsers.lng
%ProgramFiles%\PCCleaner2007\lang\en_customitems.l ng
%ProgramFiles%\PCCleaner2007\lang\en_main.lng
%ProgramFiles%\PCCleaner2007\lang\en_messangers.ln g
%ProgramFiles%\PCCleaner2007\lang\en_tempfiles.lng
%ProgramFiles%\PCCleaner2007\lang\en_windows.lng
%ProgramFiles%\PCCleaner2007\lang\ru_applications. lng
%ProgramFiles%\PCCleaner2007\lang\ru_browsers.lng
%ProgramFiles%\PCCleaner2007\lang\ru_customitems.l ng
%ProgramFiles%\PCCleaner2007\lang\ru_main.lng
%ProgramFiles%\PCCleaner2007\lang\ru_messangers.ln g
%ProgramFiles%\PCCleaner2007\lang\ru_tempfiles.lng
%ProgramFiles%\PCCleaner2007\lang\ru_windows.lng
%ProgramFiles%\PCCleaner2007\master.ini
%ProgramFiles%\PCCleaner2007\plugins\appclean.dll
%ProgramFiles%\PCCleaner2007\plugins\browsers.dll
%ProgramFiles%\PCCleaner2007\plugins\browsers.ini
%ProgramFiles%\PCCleaner2007\plugins\customitems.d ll
%ProgramFiles%\PCCleaner2007\plugins\messangers.dl l
%ProgramFiles%\PCCleaner2007\plugins\messangers.in i
%ProgramFiles%\PCCleaner2007\plugins\tempfiles.dll
%ProgramFiles%\PCCleaner2007\plugins\tempfiles.ini
%ProgramFiles%\PCCleaner2007\plugins\windows.dll
%ProgramFiles%\PCCleaner2007\plugins\windows.ini
%ProgramFiles%\PCCleaner2007\Skins\BlueGauze\Butto nHuge.bmp
%ProgramFiles%\PCCleaner2007\Skins\BlueGauze\Maste r.bmp
%ProgramFiles%\PCCleaner2007\Skins\BlueGauze\Optio ns.dat
%ProgramFiles%\PCCleaner2007\Skins\BlueGlass\Btn_H uge.bmp
%ProgramFiles%\PCCleaner2007\Skins\BlueGlass\Maste r.bmp
%ProgramFiles%\PCCleaner2007\Skins\BlueGlass\Optio ns.dat
%ProgramFiles%\PCCleaner2007\Skins\BlueIce\BG.JPG
%ProgramFiles%\PCCleaner2007\Skins\BlueIce\Btn_Hug e.bmp
%ProgramFiles%\PCCleaner2007\Skins\BlueIce\Master. bmp
%ProgramFiles%\PCCleaner2007\Skins\BlueIce\Options .dat
%ProgramFiles%\PCCleaner2007\Skins\BluePlastic\But tonHuge.bmp
%ProgramFiles%\PCCleaner2007\Skins\BluePlastic\Mas ter.bmp
%ProgramFiles%\PCCleaner2007\Skins\BluePlastic\Opt ions.dat
%ProgramFiles%\PCCleaner2007\Skins\Cappuccino\Butt onHuge.bmp
%ProgramFiles%\PCCleaner2007\Skins\Cappuccino\Mast er.bmp
%ProgramFiles%\PCCleaner2007\Skins\Cappuccino\Opti ons.dat
%ProgramFiles%\PCCleaner2007\Skins\DarkGlass\Bkgnd .jpg
%ProgramFiles%\PCCleaner2007\Skins\DarkGlass\Butto nHuge.bmp
%ProgramFiles%\PCCleaner2007\Skins\DarkGlass\Maste r.bmp
%ProgramFiles%\PCCleaner2007\Skins\DarkGlass\Optio ns.dat
%ProgramFiles%\PCCleaner2007\Skins\Desert\ButtonHu ge.bmp
%ProgramFiles%\PCCleaner2007\Skins\Desert\Master.b mp
%ProgramFiles%\PCCleaner2007\Skins\Desert\Options. dat
%ProgramFiles%\PCCleaner2007\Skins\Elegant\ButtonH uge.bmp
%ProgramFiles%\PCCleaner2007\Skins\Elegant\Master. bmp
%ProgramFiles%\PCCleaner2007\Skins\Elegant\Options .dat
%ProgramFiles%\PCCleaner2007\Skins\FalloutStyle\Bu ttonHuge.bmp
%ProgramFiles%\PCCleaner2007\Skins\FalloutStyle\fB G.jpg
%ProgramFiles%\PCCleaner2007\Skins\FalloutStyle\Ma ster.bmp
%ProgramFiles%\PCCleaner2007\Skins\FalloutStyle\Op tions.dat
%ProgramFiles%\PCCleaner2007\Skins\Golden\ButtonHu ge.bmp
%ProgramFiles%\PCCleaner2007\Skins\Golden\Master.b mp
%ProgramFiles%\PCCleaner2007\Skins\Golden\Options. dat
%ProgramFiles%\PCCleaner2007\Skins\GrayPlastic\But tonHuge.bmp
%ProgramFiles%\PCCleaner2007\Skins\GrayPlastic\Mas ter.bmp
%ProgramFiles%\PCCleaner2007\Skins\GrayPlastic\Opt ions.dat
%ProgramFiles%\PCCleaner2007\Skins\HeroesStyle\But tonHuge.bmp
%ProgramFiles%\PCCleaner2007\Skins\HeroesStyle\Mas ter.bmp
%ProgramFiles%\PCCleaner2007\Skins\HeroesStyle\Opt ions.dat
%ProgramFiles%\PCCleaner2007\Skins\Ledenets\Button Huge.bmp
%ProgramFiles%\PCCleaner2007\Skins\Ledenets\Master .bmp
%ProgramFiles%\PCCleaner2007\Skins\Ledenets\Option s.dat
%ProgramFiles%\PCCleaner2007\Skins\LikeOperaStyle\ ButtonHuge.bmp
%ProgramFiles%\PCCleaner2007\Skins\LikeOperaStyle\ Master.bmp
%ProgramFiles%\PCCleaner2007\Skins\LikeOperaStyle\ Options.dat
%ProgramFiles%\PCCleaner2007\Skins\LongHorn\Button Huge.bmp
%ProgramFiles%\PCCleaner2007\Skins\LongHorn\Master .bmp
%ProgramFiles%\PCCleaner2007\Skins\LongHorn\Option s.dat
%ProgramFiles%\PCCleaner2007\Skins\MacMetal\Button Huge.bmp
%ProgramFiles%\PCCleaner2007\Skins\MacMetal\Master .bmp
%ProgramFiles%\PCCleaner2007\Skins\MacMetal\Option s.dat
%ProgramFiles%\PCCleaner2007\Skins\MacOS\Biclose.b mp
%ProgramFiles%\PCCleaner2007\Skins\MacOS\BIMAX.BMP
%ProgramFiles%\PCCleaner2007\Skins\MacOS\BIMIN.BMP
%ProgramFiles%\PCCleaner2007\Skins\MacOS\ButtonHug e.bmp
%ProgramFiles%\PCCleaner2007\Skins\MacOS\Master.bm p
%ProgramFiles%\PCCleaner2007\Skins\MacOS\Options.d at
%ProgramFiles%\PCCleaner2007\Skins\MacOS2\Biclose. bmp
%ProgramFiles%\PCCleaner2007\Skins\MacOS2\BIMAX.BM P
%ProgramFiles%\PCCleaner2007\Skins\MacOS2\BIMIN.BM P
%ProgramFiles%\PCCleaner2007\Skins\MacOS2\ButtonHu ge.bmp
%ProgramFiles%\PCCleaner2007\Skins\MacOS2\Master.b mp
%ProgramFiles%\PCCleaner2007\Skins\MacOS2\Options. dat
%ProgramFiles%\PCCleaner2007\Skins\Neutral\ButtonH uge.bmp
%ProgramFiles%\PCCleaner2007\Skins\Neutral\Master. bmp
%ProgramFiles%\PCCleaner2007\Skins\Neutral\Options .dat
%ProgramFiles%\PCCleaner2007\Skins\Neutral2\Button Huge.bmp
%ProgramFiles%\PCCleaner2007\Skins\Neutral2\Master .bmp
%ProgramFiles%\PCCleaner2007\Skins\Neutral2\Option s.dat
%ProgramFiles%\PCCleaner2007\Skins\Neutral3\Button Huge.bmp
%ProgramFiles%\PCCleaner2007\Skins\Neutral3\Master .bmp
%ProgramFiles%\PCCleaner2007\Skins\Neutral3\Option s.dat
%ProgramFiles%\PCCleaner2007\Skins\Neutral4\Button Huge.bmp
%ProgramFiles%\PCCleaner2007\Skins\Neutral4\Master .bmp
%ProgramFiles%\PCCleaner2007\Skins\Neutral4\Option s.dat
%ProgramFiles%\PCCleaner2007\Skins\NextAlpha\Butto nHuge.bmp
%ProgramFiles%\PCCleaner2007\Skins\NextAlpha\Maste r.bmp
%ProgramFiles%\PCCleaner2007\Skins\NextAlpha\Optio ns.dat
%ProgramFiles%\PCCleaner2007\Skins\Office12Style\B uttonHuge.bmp
%ProgramFiles%\PCCleaner2007\Skins\Office12Style\M aster.bmp
%ProgramFiles%\PCCleaner2007\Skins\Office12Style\O ptions.dat
%ProgramFiles%\PCCleaner2007\Skins\Office2003\Butt onHuge.bmp
%ProgramFiles%\PCCleaner2007\Skins\Office2003\Mast er.bmp
%ProgramFiles%\PCCleaner2007\Skins\Office2003\Opti ons.dat
%ProgramFiles%\PCCleaner2007\Skins\Retro\ButtonHug e.bmp
%ProgramFiles%\PCCleaner2007\Skins\Retro\Master.bm p
%ProgramFiles%\PCCleaner2007\Skins\Retro\Options.d at
%ProgramFiles%\PCCleaner2007\Skins\Retro\WOOD.JPG
%ProgramFiles%\PCCleaner2007\Skins\Rhombus\Bg.jpg
%ProgramFiles%\PCCleaner2007\Skins\Rhombus\ButtonH uge.bmp
%ProgramFiles%\PCCleaner2007\Skins\Rhombus\Master. bmp
%ProgramFiles%\PCCleaner2007\Skins\Rhombus\Options .dat
%ProgramFiles%\PCCleaner2007\Skins\Sand\ButtonHuge .bmp
%ProgramFiles%\PCCleaner2007\Skins\Sand\Master.bmp
%ProgramFiles%\PCCleaner2007\Skins\Sand\Options.da t
%ProgramFiles%\PCCleaner2007\Skins\Steam\ButtonHug e.bmp
%ProgramFiles%\PCCleaner2007\Skins\Steam\Master.bm p
%ProgramFiles%\PCCleaner2007\Skins\Steam\Options.d at
%ProgramFiles%\PCCleaner2007\Skins\Terminal4bit\Bu ttonHuge.bmp
%ProgramFiles%\PCCleaner2007\Skins\Terminal4bit\Ma ster.bmp
%ProgramFiles%\PCCleaner2007\Skins\Terminal4bit\Op tions.dat
%ProgramFiles%\PCCleaner2007\Skins\TheFrog\Bg.jpg
%ProgramFiles%\PCCleaner2007\Skins\TheFrog\ButtonH uge.bmp
%ProgramFiles%\PCCleaner2007\Skins\TheFrog\Master. bmp
%ProgramFiles%\PCCleaner2007\Skins\TheFrog\Options .dat
%ProgramFiles%\PCCleaner2007\Skins\Winter2003\BG.J PG
%ProgramFiles%\PCCleaner2007\Skins\Winter2003\Btn_ Huge.bmp
%ProgramFiles%\PCCleaner2007\Skins\Winter2003\Mast er.bmp
%ProgramFiles%\PCCleaner2007\Skins\Winter2003\Opti ons.dat
%ProgramFiles%\PCCleaner2007\Skins\WLM\ButtonHuge. bmp
%ProgramFiles%\PCCleaner2007\Skins\WLM\Master.bmp
%ProgramFiles%\PCCleaner2007\Skins\WLM\Options.dat
%ProgramFiles%\PCCleaner2007\Skins\WLM\TopRight.bm p
%ProgramFiles%\PCCleaner2007\Skins\WMP11\ButtonHug e24.bmp
%ProgramFiles%\PCCleaner2007\Skins\WMP11\Master.bm p
%ProgramFiles%\PCCleaner2007\Skins\WMP11\Options.d at
%ProgramFiles%\PCCleaner2007\Skins\Wood\Bg.jpg
%ProgramFiles%\PCCleaner2007\Skins\Wood\ButtonHuge .bmp
%ProgramFiles%\PCCleaner2007\Skins\Wood\Master.bmp
%ProgramFiles%\PCCleaner2007\Skins\Wood\Options.da t
%ProgramFiles%\PCCleaner2007\Skins\XPLuna\ButtonHu ge.bmp
%ProgramFiles%\PCCleaner2007\Skins\XPLuna\Master.b mp
%ProgramFiles%\PCCleaner2007\Skins\XPLuna\Options. dat
%ProgramFiles%\PCCleaner2007\Skins\XPSilver\Button Huge.bmp
%ProgramFiles%\PCCleaner2007\Skins\XPSilver\Master .bmp
%ProgramFiles%\PCCleaner2007\Skins\XPSilver\Option s.dat
%ProgramFiles%\PCCleaner2007\SysCleaner.exe
%ProgramFiles%\PCCleaner2007\unins000.dat
%ProgramFiles%\PCCleaner2007\unins000.exe



Создаёт подключ в разделе для удаления программ:


HKEY_LOCAL_MACHINE%\SOFTWARE\Microsoft\Windows\Cur rentVersion\Uninstall\PCCleaner2007_is1



Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Нежелательное приложение - сканер безопасности. Отображает сообщения о ложных угрозах; предлагает приобрести зарегистированную версию для удаления угроз, якобы найденных в системе.

Источник: Symantec.com

MalwareBurn
При установке создаёт следующие файлы: #UL %ProgramFiles%\MalwareBurn 6.9\Lang\English.ini %ProgramFiles%\MalwareBurn 6.9\MalwareBurn 6.9.url %ProgramFiles%\MalwareBurn 6.9\mwdb.dat %ProgramFiles%\MalwareBurn 6.9\Lang\English.ini %ProgramFiles%\MalwareBurn 6.9\MalwareBurn 6.9.exe %ProgramFiles%\MalwareBurn 6.9\MalwareBurn 6.9.url %ProgramFiles%\MalwareBurn 6.9\msvcp71.dll %ProgramFiles%\MalwareBurn 6.9\msvcr71.dll %ProgramFiles%\MalwareBurn 6.9\mwdb.dat %ProgramFiles%\MalwareBurn 6.9\uninst.exe %UserProfile%\Local Settings\Temp\MWLanguage.ini %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\MalwareBurn 6.9.lnk %UserProfile%\Desktop\MalwareBurn 6.9.lnk %UserProfile%\Start Menu\Programs\MalwareBurn 6.9\MalwareBurn 6.9 Website.lnk %UserProfile%\Start Menu\Programs\MalwareBurn 6.9\MalwareBurn 6.9.lnk %UserProfile%\Start Menu\Programs\MalwareBurn 6.9\Uninstall MalwareBurn 6.9.lnk %UserProfile%\Start Menu\MalwareBurn 6.9.lnk #/UL Создаёт следующие подключи реестра: #UL HKEY_CLASSES_ROOT\AppID\MalwareWipe.EXE HKEY_CLASSES_ROOT\AppID\{70F17C8C-1744-41B6-9D07-575DB448DCC5} HKEY_CLASSES_ROOT\Interface\{0F5C9DFD-CDFA-43B9-8553-1E5489597F5A} HKEY_CLASSES_ROOT\Interface\{10291329-0B60-4620-BE2D-53AFB276EB6E} HKEY_CLASSES_ROOT\Interface\{186094BE-1A83-48B7-98D6-89C1E58E62E1} HKEY_CLASSES_ROOT\Interface\{2DC578A2-8283-484E-A890-0ED54F0A08E3} HKEY_CLASSES_ROOT\Interface\{2EAABB73-4C9D-490D-8B02-F7B9F4AFB43C} HKEY_CLASSES_ROOT\Interface\{4252A994-4060-4059-B358-B9B48220251E} HKEY_CLASSES_ROOT\Interface\{44F6897B-76A4-441A-A4C7-2F94E34C5059} HKEY_CLASSES_ROOT\Interface\{70A51ADF-998C-401D-A3E9-14F524751916} HKEY_CLASSES_ROOT\Interface\{8C272D06-2569-4E55-9193-FD2BC27FBDDC} HKEY_CLASSES_ROOT\Interface\{90111041-7D2C-495B-9892-0F22029DE2DF} HKEY_CLASSES_ROOT\Interface\{91A84911-65BC-4C55-A81D-F5821C716A5F} HKEY_CLASSES_ROOT\Interface\{9A780FEA-46F0-494F-8497-C38BD47EDE89} HKEY_CLASSES_ROOT\Interface\{B867288A-985A-46F0-9F1F-3FF418798E5E} HKEY_CLASSES_ROOT\Interface\{C1EC6006-4D5A-4FA7-9D2A-4E538901F649} HKEY_CLASSES_ROOT\Interface\{E8A31FE3-F478-4187-8791-9FD84C0E886F} HKEY_CLASSES_ROOT\Interface\{ECEA1581-2B1F-44BA-8310-F32D7F7666A3} HKEY_CLASSES_ROOT\TypeLib\{8000A61D-4BBF-4C7E-AD3E-9BECBCFA103F} HKEY_LOCAL_MACHINE\SOFTWARE\MalwareBurn 6.9 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\App Paths\MalwareBurn 6.9.exe 6.9 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\MalwareBurn 6.9 HKEY_LOCAL_MACHINE\SOFTWARE\Licenses\{IEE33530D7BE 2DE7F} HKEY_LOCAL_MACHINE\SOFTWARE\Licenses\{0EE33530D7BE 2DE7F} #/UL Может создавать в реестре пустой подключ: #UL HKEY_CLASSES_ROOT\CLSID\{47DC4218-AE5B-32B9-3EF8-C7F9CF2B564F} #/UL Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте системы: #UL HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"MalwareBurn 6.9.exe 6.9" = ""C:\Program Files\MalwareBurn 6.9\MalwareBurn 6.9.exe" /h" #/UL
Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
MalwareBurn - приложение для поиска и устранения adware и spyware, отображающее ложные отчёты о состоянии безопасности системы и предлагающее приобрести зарегистированную версию.

Источник: Symantec.com

PCPrivacyTool

Приложение должно быть установлено пользователем.

После сканирования системы отображает ряд предупреждений о несуществующих угрозах и предлагает приобрести зарегистрированную версию приложения.

Установка:
Создаёт директории:



C:\Documents and Settings\All Users\Start Menu\Programs\PCPrivacyTool
%ProgramFiles%\PCPrivacyTool



Создаёт следующие файлы:


%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\PCPrivacyTool unregistered.lnk
%UserProfile%\Desktop\Install PCPrivacyTool.lnk
%UserProfile%\Desktop\PCPrivacyTool unregistered.lnk



Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку при старте Windows.


HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentV ersion\Run\"PCPrivacyTool" = "C:\Program Files\PCPrivacyTool\GDC.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"PCPrivacyTool" = "C:\Program Files\PCPrivacyTool\GDC.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"ugdccw" = "C:\PROGRA~1\PCPRIV~1\UGDCcw.exe" -start"



Также создаёт в реестре запись:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Shell Extensions\Approved\"{B33DE756-DEEE-4D7A-87DB-1D905BA2AA21}" = "secure_del"



Создаёт следующие подключи реестра:


HKEY_ALL_USERS\Software\PCPrivacyTool
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\se cure_del
HKEY_CLASSES_ROOT\.exe\shellex\ContextMenuHandlers \secure_del
HKEY_CLASSES_ROOT\.lnk\ShellEx\ContextMenuHandlers \secure_del
HKEY_CLASSES_ROOT\CLSID\{B33DE756-DEEE-4D7A-87DB-1D905BA2AA21}
HKEY_CLASSES_ROOT\Directory\Background\shellex\Con textMenuHandlers\secure_del
HKEY_CLASSES_ROOT\Directory\shellex\ContextMenuHan dlers\secure_del
HKEY_CLASSES_ROOT\Drive\shellex\ContextMenuHandler s\secure_del
HKEY_CLASSES_ROOT\Folder\shellex\ContextMenuHandle rs\secure_del
HKEY_CLASSES_ROOT\SystemFileAssociations\Directory .Audio\shellex\ContextMenuHandlers\secure_del
HKEY_CLASSES_ROOT\SystemFileAssociations\Directory .Image\shellex\ContextMenuHandlers\secure_del
HKEY_CLASSES_ROOT\SystemFileAssociations\Directory .Video\shellex\ContextMenuHandlers\secure_del
HKEY_CLASSES_ROOT\exefile\shellex\ContextMenuHandl ers\secure_del
HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandl ers\secure_del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\GDC_is1
HKEY_LOCAL_MACHINE\SOFTWARE\PC Drive Tool
HKEY_LOCAL_MACHINE\SOFTWARE\PCPrivacyTool
HKEY_LOCAL_MACHINE\SOFTWARE\Purchased Products\PC Drive Tool
HKEY_LOCAL_MACHINE\SOFTWARE\ugdccw



Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Приложение для обнаружения и удаления вредоносных программ от Locus Software, PCPrivacyTool v1.0.5.0, представляет ложные сообщения о состоянии компьютера, предлагая приобрести зарегистрированную версию.

Источник: Symantec.com

Spyinator

Приложение должно быть установлено пользователем вручную.

Отображает неверный доклад о якобы обнаруженных в системе spyware и adware:


Spyware "Tybee Software Inc."
Spyware "Golden Eye Software"
Adware "Brilliant Digital"



После сканирования, приложение предлагает приобрести зарегистрированную версию.

Установка:
При запуске создаёт следующие файлы:


%ProgramFiles%\Spyinator\Alert.WAV
%ProgramFiles%\Spyinator\BlockedCookies.txt
%ProgramFiles%\Spyinator\ImmunizeDatabase
%ProgramFiles%\Spyinator\RegistrySpylist
%ProgramFiles%\Spyinator\rmcomtb.dat
%ProgramFiles%\Spyinator\rmcomtb.exe
%ProgramFiles%\Spyinator\Spyinator.exe
%ProgramFiles%\Spyinator\spyList
%ProgramFiles%\Spyinator\uninstal.log
C:\Documents and Settings\All Users\Start Menu\Programs\Spyinator v2.0\Remove Spyinator v2.0.lnk
C:\Documents and Settings\All Users\Start Menu\Programs\Spyinator v2.0\Spyinator v2.0.lnk
%UserProfile%\Desktop\Spyinator v2.0.lnk
%Windir%\SpyInator_IsFirstTime.txt
%UserProfile%\Local Settings\Temp\~DF[СЛУЧАЙНОЕ 16-РИЧНОЕ ЧИСЛО].tmp



Создаёт также пустые файлы:


%System%\MSCOMCT2.OCX
%System%\Richtx32.ocx
%System%\TABCTL32.OCX
%Windir%\unvise32.exe



Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"Spyinator" = "C:\PROGRA~1\SPYINA~1\Spyinator.exe"



Создаёт подключи реестра:


HKEY_ALL_USERS\Software\VB and VBA Program Settings\Spyinator
HKEY_ALL_USERS\Software\VB and VBA Program Settings\Spyinator\HPSettings
HKEY_ALL_USERS\Software\VB and VBA Program Settings\Spyinator\KeyStatusFromServer
HKEY_ALL_USERS\Software\VB and VBA Program Settings\Spyinator\LiveUpdate
HKEY_ALL_USERS\Software\VB and VBA Program Settings\Spyinator\NSSettings
HKEY_ALL_USERS\Software\VB and VBA Program Settings\Spyinator\OPSettings
HKEY_ALL_USERS\Software\VB and VBA Program Settings\Spyinator\TreeViewSetting
HKEY_ALL_USERS\Software\VB and VBA Program Settings\iSI-APP-NAME-v2.0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\Spyinator v2.0



Создаёт пустые подключи реестра:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\SharedDlls\C:\WINDOWS\unvise32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20DD1B9 E-87C4-11D1-8BE3-0000F8754DA1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{232E456 A-87C3-11D1-8BE3-0000F8754DA1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3B7C886 0-D78F-101B-B9B5-04021C009402}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{586A635 2-87C8-11D1-8BE3-0000F8754DA1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{603C7E8 0-87C2-11D1-8BE3-0000F8754DA1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{78E5A54 0-1850-11CF-9D53-00AA003C9CB6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7DA06D4 0-54A0-11CF-A521-0080C77A7786}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AFC634B 0-4B8B-11CF-8989-00AA00688B10}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B09DE71 5-87C1-11D1-8BE3-0000F8754DA1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B617B99 1-A767-4F05-99BA-AC6FCABB102E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BDC217C 5-ED16-11CD-956C-0000C04E4C0A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FE38753 A-44A3-11D1-B5B7-0000C09000C4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{20D D1B9B-87C4-11D1-8BE3-0000F8754DA1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Int
Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Приложение для обнаружения adware и spyware, отображающее неверные доклады о состоянии безопасности системы и предлагающее пользователю приобрести зарегистрированную версию для того, чтобы приложение работало корректно.

Источник: Symantec.com

Троянская программа, предназначенная для похищения паролей пользователя.
Является приложением Windows (PE-EXE файл). Имеет размер 57 334 байта. Ничем не упакована.

Деструктивная активность

Инсталляция

Троянец копирует свой исполняемый файл в системный каталог Windows:

%System%\msinet.exe
Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]"msinet" = "%System%\msinet.exe"
Деструктивная активность

Троянец получает параметры всех существующих в системе модемных соединений, а также все сохраненные в системе пароли при помощи функции WnetEnumCachedPasswords.

Отчет с паролями отправляется на электронную почту злоумышленникам:

***[email protected]***[email protected]
Другие названия

Trojan-PSW.Win32.Movida («Лаборатория Касперского») также известен как: Trojan.PSW.Movida («Лаборатория Касперского»), PWS-Movida (McAfee), PWSteal.Trojan (Symantec), Trojan.PWS.Movida (Doctor Web), PWS:Win32/Movida.A (RAV), TROJ_PAROLEBI.A (Trend Micro), Win32:Trojan-gen. (ALWIL), PSW.Movida (Grisoft), Trojan.PSW.Movida.A (SOFTWIN), Trj/PSW.Movida (Panda), Win32/PSW.Movida (Eset)

Win32/NetSky.Q

Червь содержится в исполняемом файле (EXE) размером около 29 КБ. При запуске создаёт файл userconfig9x.dll размером 26 КБ

Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений: создаёт в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run ключ "Norton Antivirus AV" со значением "FVProtect.exe".

Удаляет следующие записи в реестре, деактивируя автозапуск ряда других червей:


HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\PINF
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\au.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\d3dupdate.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\direct.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\Explorer
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\gouday.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\OLE
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\rate.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\srate.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\ssate.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\sysmon.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\Taskmon
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\Windows Services Host
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\winupd.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices\System.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices\Video
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\DELETE ME
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\direct.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\jijbl
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\msgsvr32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\sentry
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\service
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\System.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\Taskmon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\video
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\Windows Services Host
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\winupd.exe



Создаёт в директории Windows (%windir%) файлы base64.tmp, zip1.tmp, zip2.tmp, zip3.tmp, zipped.tmp, используемые при рассылке по электронной почте.

Ищет на диске директории с определёнными именами и копирует себя туда под разными именами. Эти директории, как правило, содержат файлы, доступные для загрузки из файлообменных сетей.

Критерий поиска (подстроки и строки):


bear
donkey
download
ftp
htdocs
http
icq
kazaa
lime
morpheus
mule
my shared folder
shar
shared files
upload



Список случайных имён, под которыми червь помещается в вышеуказанные директории:


1001 Sex and more.rtf.exe
3D Studio Max 6 3dsmax.exe
ACDSee 10.exe
Adobe Photoshop 10 crack.exe
Adobe Photoshop 10 full.exe
Adobe Premiere 10.exe
Ahead Nero 8.exe
Altkins Diet.doc.exe
American Idol.doc.exe
Arnold Schwarzenegger.jpg.exe
Best Matrix Screensaver new.scr
Britney sex xxx.jpg.exe
Britney Spears and Eminem porn.jpg.exe
Britney Spears blowjob.jpg.exe
Britney Spears cumshot.jpg.exe
Britney Spears fuck.jpg.exe
Britney Spears full album.mp3.exe
Britney Spears porn.jpg.exe
Britney Spears Sexy archive.doc.exe
Britney Spears Song text archive.doc.exe
Britney Spears.jpg.exe
Britney Spears.mp3.exe
Clone DVD 6.exe
Cloning.doc.exe
Cracks & Warez Archiv.exe
Dark Angels new.pif
Dictionary English 2004 - France.doc.exe
DivX 8.0 final.exe
Doom 3 release 2.exe
E-Book Archive2.rtf.exe
Eminem blowjob.jpg.exe
Eminem full album.mp3.exe
Eminem Poster.jpg.exe
Eminem sex xxx.jpg.exe
Eminem Sexy archive.doc.exe
Eminem Song text archive.doc.exe
Eminem Spears porn.jpg.exe
Eminem.mp3.exe
Full album all.mp3.pif
Gimp 1.8 Full with Key.exe
Harry Potter 1-6 book.txt.exe
Harry Potter 5.mpg.exe
Harry Potter all e.book.doc.exe
Harry Potter e book.doc.exe
Harry Potter game.exe
Harry Potter.doc.exe
How to hack new.doc.exe
Internet Explorer 9 setup.exe
Kazaa Lite 4.0 new.exe
Kazaa new.exe
Keygen 4 all new.exe
Learn Programming 2004.doc.exe
Lightwave 9 Update.exe
Magix Video Deluxe 5 beta.exe
Matrix.mpg.exe
Microsoft Office 2003 Crack best.exe
Microsoft WinXP Crack full.exe
MS Service Pack 6.exe
netsky source code.scr
Norton Antivirus 2005 beta.exe
Opera 11.exe
Partitionsmagic 10 beta.exe
Porno Screensaver britney.scr
RFC compilation.doc.exe
Ringtones.doc.exe
Ringtones.mp3.exe
Saddam Hussein.jpg.exe
Screensaver2.scr
Serials edition.txt.exe
Smashing the stack full.rtf.exe
Star Office 9.exe
Teen Porn 15.jpg.pif
The Sims 4 beta.exe
Ulead Keygen 2004.exe
Visual Studio Net Crack all.exe
Win Longhorn re.exe
WinAmp 13 full.exe
Windows 2000 Sourcecode.doc.exe
Windows 2003 crack.exe
Windows XP crack.exe
WinXP eBook newest.doc.exe
XXX hardcore pics.jpg.exe



Ищет на всех дисках файлы для поиска в них адресов электронной почты. Список расширений файлов:


.adb
.asp
.cgi
.dbx
.dhtm
.doc
.eml
.htm
.html
.jsp
.msg
.oft
.php
.pl
.rtf
.sht
.shtm
.tbb
.txt
.uin
.vbs
.wab
.wsh
.xml



Не добавляет в список адреса, содержащие следующие подстроки:


@antivi
@avp
@bitdefender
@f-pro
@f-secur
@fbi
@freeav
@kaspersky
@mcafee
@messagel
@microsof
@norman
@norton
@pandasof
@skynet
@sophos
@spam
@symantec
@viruslis
abuse@
noreply@
ntivir
reports@
spam@



Затем создаёт письма, используя в качестве исходящего адреса один из списка, либо:


[email protected]
[email protected]
[email protected]



Тема выбирается случайным образом из списка:


-do0-i4grjj40j09gjijgp
0i09u5rug08r89589gjrg
Administrator
approved
Congratulations!
corrected
Do you?
Does it matter?
Error
Fwd: Warning again
Hello
hello
here
Hi
hi
I cannot forget you!
I love you!
Illegal Website
important
Important m$6h?3p
improved
Information
Internet Provider Abuse
Is that your password?
Mail Account
Mail Authentication
Mail Delivery (failure %s)
Mail Delivery (failure)
News
Notice again
patched
Postcard
Private document
Protected Mail System
Re:
Re: A!p$ghsa
Re: Administration
Re: Approved document
Re: Bad Request
Re: Delivery Protection
Re: Delivery Server
Re: Developement
Re: Encrypted Mail
Re: Error
Re: Error in document
Re: Extended Mail
Re: Extended Mail System
Re: Failure
Re: Free porn
Re: Hello
Re: Hi
Re: Is that your document?
Re: Its me
Re: Mail Authentification
Re: Mail Server
Re: Message
Re: Message Error
Re: Notify
Re: Old photos
Re: Old times
Re: Order
Re: Proof of concept
Re: Protected Mail Delivery
Re: Protected Mail Request
Re: Protected Mail System
Re: Question
Re: Re:
Re: Request
Re: Sample
Re: Secure delivery
Re: Secure SMTP Message
Re: Sex pictures
Re: SMTP Server
Re: Status
Re: Submit a Virus Sample
Re: Test
Re: Thank you for delivery
Re: Virus Sample
Re: Your document
read it immediately
Shocking document
Spam
Spamed?
Stolen document
Thank you!
thanks!
You cannot do that!
Your day



Тело письма может быть пустым, либо состоять из следующих компонентов:

Одна из строк:


9u049u89gh89fsdpokofkdpbm3-4i
Are you a spammer? (I found your email on a spammer website!?!)
Authentication required.
Bad Gateway: The message has been attached.
Best wishes, your friend.
Binary message is available.
Can you confirm it?
Congratulations!, your best friend.
Delivered message is attached.
Do not visit this illegal websites!
Encrypted message is available.
ESMTP [Secure Mail System #334]: Secure message is attached.
First part of the secure mail is available.
Follow the instructions to read the message.
For further details see the attachment.
For more details see the attachment.
Forwarded message is available.
Greetings from france, your friend.
Have a look at these.
Here is it!
Here is my icq list.
Here is my phone number.
Here is the website. ;-)
I am shocked about your document!
I cannot believe that.
I found this document about you.
I have attached it to this mail.
I have attached the sample.
I have attached your document.
I have attached your file. Your password is jkl44563.
I have corrected your document.
I have received your document. The corr
I have received your document. The corrected document is attached
I have visited this website and I found you in the spammer list. Is that true?
I hope the patch works.
I hope you accept the result!
I noticed that you have visited illegal websites. See the name in the list!
Important message, do not show this anyone!
Let us be short: you have no experience in writing letters!!!
lovely, :-)
Message has been sent as a binary attachment.
Monthly news report.
My favourite page.
New message is available.
Now a new message is available.
Partial message is available.
Please answer quickly!
Please authenticate the secure message.
Please confirm my request.
Please confirm the document.
Please confirm!
Please r564g!he4a56a3haafdogu#mfn3o




Одна из строк:


Please read the attached file!
Please read the attached file.
Please read the attachment to get the message.
Please read the document.
Please read the important document.
Please see the attached file for details.
po44u90ugjid-k9z5894z0
Protected Mail System Test.
Protected message is attached.
Protected message is available.
Requested file.
Secure Mail System Beta Test.
See the file.
See the ghg5%&6gfz65!4Hf55d!46gfgf
%lt;Server Error #203>



Либо текст:

SMTP: Please confirm the attached message.
Thank you for your request, your details are attached!
Thanks!
The file is protected with the password ghj001.
The sample file you sent contains a new virus version of buppa.k.
Please update your virus scanner with the attached dat file.
Best Regards,
Keria Reynolds

Либо текст:

The sample file you sent contains a new virus version of mydoom.j.
Please clean your system with the attached signature.
Sincerly,
Robert Ferrew

Либо одна из строк:


The sample is attached!
Try this game ;-)
Try this, or nothing!
Waiting for a Response. Please read the attachment.
Waiting for authentification.
You got a new message.
You have downloaded these illegal cracks?.
You have received an extended message. Please read the instructions.
You have visited illegal websites. I have a big list of the websites you surfed.
You have written a very good text, excellent, good work!
You were registered to the pay system. For more details see the attachment.
Your archive is attached.
your big love, ;-)
Your bill is attached to this mail.
Your details.
Your document is attached to this mail.
Your document is attached.
Your document.
Your file is attached.
Your important document, correction is finished!
Your mail account has been closed. For further details see the document.
Your mail account is expired. See the details to reactivate it.
Your photo, uahhh.... , you are naked!
Your requested mail has been attached.



В конце письма червь может ставить пометку о том, что вложение якобы проверено на вирусы:

"+++ Attachment: No Virus found"

В следующей строке случайным образом указывается название антивируса:


+++ Bitdefender AntiVirus - www.bitdefender.com
+++ Kaspersky AntiVirus - www.kaspersky.com
+++ MC-Afee AntiVirus - www.mcafee.com
+++ MessageLabs AntiVirus - www.messagelabs.com
+++ Panda AntiVirus - www.pandasoftware.com
++++ F-Secure AntiVirus - www.f-secure.com
++++ Norman AntiVirus - www.norman.com
++++ Norton AntiVirus - www.symantec.de



Имя вложения выбирается из списка (может состоять из двух случайных слов из списка):


about_you
abuselist
abuses
abuse_list
all_doc01
all_in_all
application
approved
approved
archive
attach
bill
confirm
corrected
d4334938
data
data02
data20
datfiles
detail3
details
details03
details05
doc01
document
document01
document04
document05
document07
document09
document342
document43
document_all
document_all02c
document_with_notice
doc_word3
email
encrypted_msg01
excel document
file
game
game_xxo
id04009
id09509
id43342
important
important
improved
info02
information
judge
letter
letter32
letter43
list
list_ed
mails9
message
msg
my
my_details
my_list01
my_numbers
news01
old_photos
part6
part_01
patch3425
pgp_sess01
photo
postcard
priv
private_01
product
pwd02
readme
report01
sample01
screensaver
signature
software
story
summary2004
text
text01
website
websitelist01
websites01
websites03
word document
word_doc
www.freeporn4all
www.myx4free
your
your_doc
your_document



Расширение вложения может быть либо исполняемым двойным: [doc или txt].[exe, scr или pif], либо ZIP. В ZIP вкладывается файл с одним из следующих имён:


document.txt .exe
data.rtf .scr
details.txt .pif



Несмотря на кажущуюся беспорядочность тем, вариантов тел сообщения и имён вложений, червь содержит базу соответствий и, таким образом, все письма имеют осмысленные темы писем, текст и название файла-вложения.

Червь также содержит обращение к автору червя Win32/Bagle.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Распространяется при помощи массовой рассылки своих копий по электронной почте, копированием себя в совместно используемые директории файлообменных сетей и совместно используемые сетевые директории.

Источник: ESET.com

Win32/NetSky.B

Упакован утилитой UPX. В сжатом состоянии занимает 22.106 байт, в распакованном - 41.984 байта.

Создаёт мутекс "AdmSkynetJklS003", по которому проверяет наличие своей копии в памяти.

При запуске файла без параметров выдаёт окно ошибки " The file could not be opened! " ("Файл не может быть открыт!").

При первом запуске копирует себя в корневую директорию Windows (%windir%) под именем services.exe и записывает ссылку на этот файл в раздел реестра, отвечающий за автозагрузку приложений:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"service" = "%windir%\services.exe -serv"



При запуске файла с параметром "-serv" сообщение об ошибке не выводится.

Удаляет из реестра следующие ключи:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\Taskmon
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\Taskmon
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\Explorer
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\KasperskyAv
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\system.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices\system



Ищет на всех дисках, кроме CD/DVD-приводов, директории, содержащие строки "share" или "sharing". Такие директории могут, предположительно, относиться к местам общего доступа файлообменных сетей.

Копирует себя в найденные директории под именами:


winxp_crack.exe
dolly_buster.jpg.pif
strippoker.exe
photoshop 9 crack.exe
matrix.scr
porno.scr
angels.pif
hardcore porn.jpg.exe
office_crack.exe
serial.txt.exe
cool screensaver.scr
eminem - lick my pussy.mp3.pif
nero.7.exe
virii.scr
e-book.archive.doc.exe
max payne 2.crack.exe
how to hack.doc.exe
programming basics.doc.exe
e.book.doc.exe
win longhorn.doc.exe
dictionary.doc.exe
rfc compilation.doc.exe
sex sex sex sex.doc.exe
doom2.doc.pif



Собирает адреса электронной почты на всех дисках из файлов с расширениями:


.eml
.txt
.php
.pl
.htm
.html
.vbs
.rtf
.uin
.asp
.wab
.doc
.adb
.tbb
.dbx
.sht
.oft
.msg



Письма, рассылаемые червём, содержат одну из следующих тем:


hi
hello
read it immediately
something for you
warning
information
stolen
fake
unknown



Тело письма содержит одну из следующих строк:


anything ok?
what does it mean?
ok
i'm waiting
read the details.
here is the document.
read it immediately!
my hero
here
is that true?
is that your name?
is that your account?
i wait for a reply!
is that from you?
you are a bad writer
I have your password!
something about you!
kill the writer of this document!
i hope it is not true!
your name is wrong
i found this document about you
yes, really?
that is bad
here it is
see you
greetings
stuff about you?
something is going wrong!
information about you
about me
from the chatter
here, the serials
here, the introduction
here, the cheats
that's funny
do you?
reply
take it easy
why?
thats wrong
misc
you earn money
you feel the same
you try to steal
you are bad
something is going wrong
something is fool



Вложение - копия червя, имеет двойное расширение - текстовое (txt, doc, rtf) и исполняемое (exe, scr, com или pif). Например, ".txt.exe".

Иногда вложение представляет собой архив ZIP с телом червя.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Распространяется копированием себя в совместно используемые сетевые директории и в директории общего доступа P2P-сетей, а также рассылает себя по адресам электронной почты, найденным в файлах на диске.

Источник: ESET.com

Win32/Zafi.B

Распространяется копированием себя в директории общего доступа файлообменных сетей и рассылкой по электронной почте.

Файл сжат упаковщиком FSG; в сжатом виде файл имеет длину 12.800 байт, а в распакованном - 49 КБ.

Червь прибывает по электронной почте со случайной темой, например "eIngyen SMS!".
Тело сообщения:

------------------------ hirdet=E9s -----------------------------

A sikeres 777sms.hu =E9s az axelero.hu t=E1mogat=E1s=E1val =FAjra
indul az ingyenes sms k=FCld=F5 szolg=E1ltat=E1s! Jelenleg ugyan
korl=E1tozott sz=E1mban, napi 20 ingyen smst lehet felhaszn=E1lni.
K=FCldj te is SMST! Neh=E1ny kattint=E1s =E9s a mell=E9kelt regisztr=E1ci=F3s
lap kit=F6lt=E9se ut=E1n azonnal ig=E9nybevehet=F5! B=F5vebb inform=E1ci=F3t
a www.777sms.hu oldalon tal=E1lsz, de siess, mert az els=F5 ezer
felhaszn=E1l=F3 k=F6z=F6tt =E9rt=E9kes nyerem=E9nyeket sorsolunk ki!

------------------------ axelero.hu ---------------------------

Тема: eImportante! Тело письма: Informacion importante que debes conocer, -

Тема: oKatya Тело письма: ADAOIU OEIE

Тема: eE-Kort! Тело письма: Mit hjerte banker for dig!

Тема: eEcard! Тело письма: De cand te-am cunoscut inima mea are un nou ritm!

Тема: eE-vykort! Тело письма: пустое

Тема: eE-Postkort! Тело письма: Vakre roser jeg sammenligner med deg...

Тема: eE-postikorti! Тело письма: Iloista kesaa!

Тема: eAtviruka! Тело письма: Linksmo gimtadieno!

Тема: eE-Kartki! Тело письма: W Dniu imienin...

Тема: eCartoe Virtuais! Тело письма: Te amo...

Тема: eFlashcard fuer Dich! Тело письма:

Hallo!

hat dir eine elektronische Flashcard geschickt.
Um die Flashcard ansehen zu koennen, benutze in deinem Browser
einfach den nun folgenden link:
http://flashcard.de/interaktiv/viewcards/view.php3?card=267BSwr34

Viel Spass beim Lesen wuenscht Ihnen ihr...

Тема: eEr staat een eCard voor u klaar! Тело письма:

Hallo!



heeft u een eCard gestuurd via de website nederlandse
taal in het basisonderwijs...
U kunt de kaart ophalen door de volgende url aan te klikken of te
kopiren in uw browser link:
http://postkaarten.nl/viewcard.show53.index=04abD1

Met vriendelijke groet,
De redactie taalsite primair onderwijs...

Тема: eElektronicka pohlednice! Тело письма:

Ahoj!
Elektronick pohlednice ze serveru http://www.seznam.cz

Тема: eE-carte! Тело письма:

vous a envoye une E-carte partir du site zdnet.fr
Vous la trouverez, l'adresse suivante link:
http://zdnet.fr/showcard.index.php34bs42
www.zdnet.fr, plus de 3500 cartes virtuelles, vos pages web
en 5 minutes, du dialogue en direct...

Тема: eTi e stata inviata una Cartolina Virtuale! Тело письма:

Ciao!

ha visitato il nostro sito, cartolina.it e ha creato una cartolina virtuale per te! Per vederla devi fare click sul link sottostante: http://cartolina.it/asp.viewcard=index4g345a Attenzione, la cartolina sara visibile sui nostri server per 2 giorni e poi verra rimossa automaticamente.

Тема: eYou`ve got 1 VoiceMessage! Тело письма:

Dear Customer!

You`ve got 1 VoiceMessage from voicemessage.com website!
Sender:
You can listen your Virtual VoiceMessage at the following link:
http://virt.voicemessage.com/index.listen.php2=35affv
or by clicking the attached link.

Send VoiceMessage! Try our new virtual VoiceMessage Empire!
Best regards: SNAF.Team (R).

Тема: eTessek mosolyogni!!! Тело письма:

Ha ez a kep sem tud felviditani, akkor feladom!

Sok puszi:

Тема: eSoxor Csok! Тело письма:

Szia!

Aranyos vagy, jo volt dumcsizni veled a neten!
Remelem tetszem, es szeretnem ha te is kuldenel kepet
magadrol, addig is csok:


Тема: eDon`t worry, be happy! Тело письма:

Hi Honey!

I`m in hurry, but i still love ya...
(as you can see on the picture)

Bye - Bye:

Тема: eCheck this out kid!!! Тело письма:

Send me back bro, when you`ll be done...(if you know what i mean...)

See ya,

Червь находится во вложении. При запуске копирует себя в системную директорию Windows (%system%) под случайным именем с расширением exe; там же создаёт файл .DLL со случайным именем. В этот файл записываются собранные адреса электронной почты.

Записывает ссылку на себя в раздел реестра, отвечающий за автозапуск приложений при старте системы:


HKEY_LOCAL_MACHINE\SOFTWARE\MicrosoftWindows\Curre ntVersion\Run\_Hazafibb = "%system%\[СЛУЧАЙНОЕ ИМЯ].exe"



Для хранения внутренней информации создаёт в реестре ключ:


HKEY_LOCAL_MACHINE\Software\Microsoft\_Hazafibb



Ищет на всех дисках директории, в названия которых входят подстроки "share" или "upload" и копирует себя туда под одним из нижеперечисленных имён:


Total Commander 7.0 full_install.exe
winamp 7.0 full_install.exe



Ищет адреса электронной почты на всех дисках в файлах с расширениями:


htm
wab
txt
dbx
tbb
asp
php
sht
adb
mbx
eml
pmr



Исключает адреса, содержащие следующие подстроки:


win
use
info
help
admi
webm
micro
msn
hotm
suppor
syma
vir
trend
panda
yaho
cafee
sopho
google
kasper



Отключает процессы, содержащие в именах подстроки "firewall" и "virus".

Блокирует запуск утилит, имена которых начинаются с Regedit, Msconfig и Task.

Зараженные компьютеры отправляют запросы на следующие сайты:


www.parlament.hu
www.virusbuster.hu
www.virushirado.hu
www.2f.hu



Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Распространяется копированием себя в директории общего доступа файлообменных сетей и рассылкой по электронной почте.

Псевдонимы: W32.Erkez.B

Источник: ESET.com

W32/Looked-DR

При запуске создаёт файлы %windir%\Logo1_.exe и %windir%\uninstall\rundl132.exe, которые определяются как Mal/Behav-085 (по классификации Sophos).

Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте системы:


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \"load" = "%windir%\uninstall\rundl132.exe"

Связывается с удалённым HTTP-сервером через свой компонент, определяемый Sophos как HTTP.W32/Looked-DR, для загрузки и выполнения дополнительного кода.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Вирус-червь. Копируюет себя на сетевые диски; заражает файлы на локальных и, иногда, сетевых дисках.

Загружает из интернета и устанавливает дополнительный вредоносный код.

Ослабляет безопасность системы, изменяя настройки защиты.

W32/Delf-EXO

При первом запуске копирует себя в системную директорию Windows (%System) под именем SysInfo.dll.

Внедряется в процессы explorer.exe и winlogon.exe.

Регистрируется в системе как Вспомогательный объект браузера Internet Explorer (Browser Helper Object), объявляя себя COM-объектом с CLSID {989D2FEB-5411-4565-8988-1DD2C5263377}.

Распространяется, копируя себя в корневые директории дисков под именем SysInfo2.dll; создаёт там же файл autorun.inf, через который запускается при помощи rundll32.exe ("rundll32.exe sysinfo2.dll"). Таким образом, файл не может быть запущен напрямую пользователем и запускается только при включённом автозапуске.

Другие названия: Trojan-Spy.Win32.Delf.uy

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Распространяется копированием на все диски с созданием файла автозапуска autorun.inf


Открывает в системе "чёрный ход"
Крадёт важную информацию
Содержит "клавиатурный шпион"
Устанавливается как вспомогательный объект браузера Internet Explorer (Browser Helper Object), что позволяет перехватывать данные, вводимые в формы

Adware.InstallProvider

При запуске создаёт файлы:

C:\Documents and Settings\[ТЕКУЩИЙ ПОЛЬЗОВАТЕЛЬ]\Cookies\[ТЕКУЩИЙ ПОЛЬЗОВАТЕЛЬ]@84.243.251[2].txt
C:\Documents and Settings\[ТЕКУЩИЙ ПОЛЬЗОВАТЕЛЬ]\Local Settings\Temp\[СЛУЧАЙНОЕ ИМЯ ФАЙЛА].exe
C:\Documents and Settings\[ТЕКУЩИЙ ПОЛЬЗОВАТЕЛЬ]\Local Settings\Temp\[СЛУЧАЙНОЕ ИМЯ ДИРЕКТОРИИ]\Installer.exe
C:\Documents and Settings\[ТЕКУЩИЙ ПОЛЬЗОВАТЕЛЬ]\Local Settings\Temp\[СЛУЧАЙНОЕ ИМЯ ДИРЕКТОРИИ]\InstallOptions.dll
C:\Documents and Settings\[ТЕКУЩИЙ ПОЛЬЗОВАТЕЛЬ]\Start Menu\Programs\Install Provider\InstallProvider.url
C:\Program Files\Install Provider\data.ini
C:\Program Files\Install Provider\Install Provider.ico
C:\Program Files\Install Provider\InstallProvider.dll
C:\Program Files\Install Provider\InstallProvider.dlldat



Создаёт подключи реестра:


HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A9344DE 7-59F2-40F8-9AE7-C203B67444DA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A9344DE 7-59F2-40F8-9AE7-C203B67444DA}\InProcServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BBA0C39 A-46D8-436D-BF53-6FB84997BC6E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BBA0C39 A-46D8-436D-BF53-6FB84997BC6E}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F93C5BF F-16F9-4DC5-B78C-EC46F896EE56}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F93C5BF F-16F9-4DC5-B78C-EC46F896EE56}\InprocServer32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\Install Provider
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadMana ger
HKEY_LOCAL_MACHINE\SOFTWARE\Install Provider
HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentV ersion\Ext\Stats\{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentV ersion\Ext\Stats\{F93C5BFF-16F9-4DC5-B78C-EC46F896EE56}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\DownloadUI: "{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{A9344DE7-59F2-40F8-9AE7-C203B67444DA}
HKEY_ALL_USERS\Software\Microsoft\Internet Explorer\DownloadUI: "{BBA0C39A-46D8-436D-BF53-6FB84997BC6E}"
HKEY_ALL_USERS\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{A9344DE7-59F2-40F8-9AE7-C203B67444DA}



Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные программой (использовать regedit.exe)
Действие
Программа Install Provider v1.0.18.1 представляет панель для веб-поиска. При поиске через эту панель отображает рекламу сайтов avsystemcare.com и drivercleaner.com, содержащих подставные приложения защиты системы.
Источник: Symantec.com

Troj/Delf-EXQ

При первом запуске копирует себя в домашнюю директорию пользователя (%User%): %User%\Favourites\netservice.exe.

Регистрирует себя как системный сервис "netservice" с отображаемым именем "DDMP" и типом запуска "автоматический". Информация о сервисе записывается в разделы реестра:
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NET SERVICE\
HKLM\SYSTEM\CurrentControlSet\Services\netservice\

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Открывает на компьютере "чёрный ход", предоставляя атакующему полный доступ к системе; загружает из интернета и выполняет другой вредоносный код.

Ослабляет настройки безопасности системы; отключает антивирусные процессы.

Trojan.IRC.Zapchast.NAB

При запуске создаёт в системе следующие файлы в директории C:\Windows\System\:

svchost.exe (1922 КБ, переименованная модификация mIRC.exe, Win32.Partie.B)
sup.bat (22 байта)
sup.reg (139 байт)
script.ini (8 КБ)
nicks.ini (25 КБ)

Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте системы:


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\"GNP Generic Host Process" = "c:\windows\system\svchost.exe"

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Поступает в виде самораспаковывающегося архива RAR. Устанавливает на компьютере клиент IRC-чата mIRC, заходит на определённый канал семейства серверов Undernet, #unl[УДАЛЕНО], и выполняет роль IRC-бота, принимающего стандартные команды IRC (/op /deop /kick /ban /voice /nick /msg /run /exit /say /ping).
Источник: BitDefender.com

W32.Mimbot.A

При первом запуске создаёт файлы:

%Windir%\PictureAlbum2007.zip (копия червя в архиве)
%System%\prodigys323.dll



Создаёт в реестре записи, обеспечивающие ему автозагрузку при каждом запуске системы.


HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{448BAC4 2-AABD-42C5-A550-826BF4AF4BB3}\InProcServer32\"(Default)" = "prodigys323.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad\"prodigy1" = "{448BAC42-AABD-42C5-A550-826BF4AF4BB3}"



Открывает "чёрный ход", подключаясь к IRC-серверу ns5.landpurchased.com:81 и ожидает команд от атакующего. В частности, может загружать и выполнять дополнительный код.

Распространяется через MSN Live Messenger, рассылая свою копию в архиве PictureAlbum2007.zip по списку контактов, обнаруженных в адресной книге.

Сопровождает файл сообщением, которое выбирает из списка случайным образом:


QuT usted piensa de este cuadro?
Conseguf a nuevo cuadro de mf la toma una mirada
algunos cuadros de la semana pasada, consideran si usted tiene gusto en ellos.
tiene usted visto este picure todavfa?
Haha, es que usted?
Debo utilizar este cuadro en msn?
QuT usted piensa en esto?
Was denken Sie an diese?
was denken Sie an dieses picure? ich glaube, daich hSlich schaue :/
sind hier eine neue Abbildung von mir
einige Abbildungen von der letzten Woche, sehen, wenn Sie sie m gen
Haha, diese sind Sie auf dieser Abbildung?
sollte ich diese Abbildung auf msn benutzen?
Was denken Sie an dieses?
Wat denkt u aan dit picure? ik vind ik lelijk kijk
Een paar beelden van vorige week, zien of houdt u hier van em nieuwe pic van me. :)
Hebt u dit picure nog gezien?:p
Hebt u dit picure nog gezien? :p
Haha, bent u dat op dat beeld? :)
Zou ik dit beeld op msn moeten gebruiken?
Wat denkt u over dit?
que pensez-vous a ce picure ? je me sens que je semble laid :/
Voici un nouveau pic de moi
Quelques images de la semaine derni
re, voient si vous les aimez
Avez-vous vu ce picure encore ?
Haha, est-vous ce sur cette image ?
Si j'emploient cette image sur le msn ?
Que pensez-vous a mon image ?
What do you think of this picure? i feel i look ugly :/
Here's a new pic of me
A few pictures from last week, see if you like em
Have you seen this picure yet?
Haha, is that you on that picture?
Should i use this picture on msn?
What do you think about this?



Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Распространяется, рассылая свои копии по списку контактов в MSN Live Messenger.

Открывает "чёрный ход", предоставляя атакующему полный доступ к захваченной системе.

Источник: Symantec.com

Backdoor.Ginwui.F

Троян поступает на зараженный компьютер во вредоносном документе Microsoft PowerPoint (определяется антивирусом Symantec как Trojan.PPDropper).

При запуске документ создаёт следующие файлы:


%Temp%\ excel.exe
%Temp%\[ОРИГИНАЛЬНОЕ_ИМЯ_ФАЙЛА].pps
%System%\US2.EXE
%System%\kb20060919.log
%System%\WINFBI32.DLL



Создаёт в реестре запись:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\"AppInit_DLLs" = "%System%\WINFBI32.dll"



Встраивает себя в другие процессы и использует технологию руткитов для сокрытия своих файлов, записи реестра и процесса.

Открывает на компьютере чёрный ход, подключаясь к сайту [http://][УДАЛЕНО].7766.org.

Обеспечивает атакующему следующий функционал:


Отправка информации о типах жёстких дисков
Поиск файлов на диске
Загрузка файлов на захваченный компьютер
Передача файлов с захваченного компьютера
Создание и удаление директорий
Выполнение команд
Обновление записей трояна в реестре



Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Открывает чёрный ход на зараженном компьютере; использует руткит для сокрытия своего присутствия в системе.

Источник: Symantec.com

Trojan.PPDropper

Поступает на компьютер по электронной почте, в виде вложения формата PowerPoint.

Характеристики письма:
От: [УДАЛЕНО]@yahoo.com
Кому: [СПИСОК ПОЛУЧАТЕЛЕЙ]
Тема: new plan
Сообщение:

The operational plan of next week has revised and respond to us

Dear sir:
In next week ,we will [УДАЛЕНО] respond to us as quickly as possible!!! We are so sorry ! Thanks and best wishes to you! Regards

Вложение: newplan.ppt

Эксплуатирует уязвимость MS06-012, вызывающую переполнение буфера и выполнение вредоносного кода, скрытого в документе PowerPoint при его открытии.

Сохраняет на диске файл - копию Backdoor.Nithsys:

%Temp%\[СЛУЧАЙНОЕ_ИМЯ].tmp - 144,513 bytes

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Действие
Поступает во вложении в формате Power Point; сохраняет на диске троян Backdoor.Nithsys.

Источник: Symantec.com

MSNPoopy.A
При первом запуске создаёт в директории Windows файлы SVCHOST.EXE и IMG1756.ZIP - архив со своей копией, рассылаемый через MSN Live Messenger.

Создаёт в реестре запись, обеспечивающую ему автозагрузку при каждом запуске системы:


HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run \ Microsoft Genuine Logon = svchost.exe



Рассылает себя по списку контактов: выбирает одно из сообщений, провоцирующее загрузить архив и запустить файл, и прикрепляет к нему вышеуказанный файл.


check it, i shaved my head
have u seen my new hair?
hey man, did you take this picture?
I just took this picture with my webcam, like it?
look @ my cute new puppy :-D
look @ this picture of me, when I was a kid
what the fuck, did you see this?



Техническое название: W32/MSNPoopy.A.worm.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Распространяется, рассылая себя через MSN Live Messenger.

Отправляет имя пользователя и пароль MSN Live Messenger с захваченного компьютера на веб-сайт атакующего.
Источник: PandaSecurity.com

BancoKill.A
Блокирует доступ к определённому мексиканскому банку, записывая доменные имена его сайтов в файл hosts (%windows%\system32\drivers\etc\hosts) со ссылкой на локальный компьютер (127.0.0.1).

Поступает в письмах, содержащих сообщение о сотрудничестве Panda Software с мексиканским банком "Grupo ..." с целью защиты пользователей, и предлагает нажать на ссылку "Защититься сейчас". ведущую на копию трояна.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Действие
Блокирует доступ пользователей к ряду веб-сайтов, принадлежащих одному из мексиканских банков.

Троян располагается на сайте; ссылка на него содержится в электронном письме, рассказывающем на испанском языке о том, что Panda Software и определённый мексиканский банк заключили партнёрское соглашение.

Источник: PandaSecurity.com

Lop
Устанавливает себя как Browser Helper Object для Microsoft Internet Explorer.

При запуске копирует себя в файлы EXE со случайными именами в директории Application Data и Program Files.

Создаёт на "Рабочем столе" ярлыки BINGO.LNK, CARD GAMES.LNK, CASINO ONLINE.LNK, INTERNET.LNK, POKER.LNK, PRINTER CARTRIDGES.LNK, TRAVEL.LNK and WEBSITE HOSTING.LNK, ведущие на разные сайты.

В директории "Избранное" создаёт ярлыки ANTIVIRUS.URL, CASINO ONLINE.URL, COMPUTERS.URL, GAMES.URL, INSTANT MESSAGING.URL, INTERNET.URL, MOVIE.URL, WEB HOSTING.URL, COMPUTER, COOL STUFF, DATING, HOME, INTERNET, ONLINE GAMING, ONLINE PHARMACY, SHOPPING GIFTS и TRAVEL.

Создаёт в реестре записи, обеспечивающие автозагрузку при каждом старте Windows:


HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run \ %СЛУЧАЙНОЕ_НАЗВАНИЕ% = %ApplicationData%\ %СЛУЧАЙНАЯ_ДИРЕКТОРИЯ%\ %ИМЯ_ФАЙЛА%.exe
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run \ %СЛУЧАЙНОЕ_НАЗВАНИЕ% = %ProgramFiles%\ %СЛУЧАЙНАЯ_ДИРЕКТОРИЯ%\ %ИМЯ_ФАЙЛА%.exe



%СЛУЧАЙНАЯ_ДИРЕКТОРИЯ% - директория со случайным именем, где расположены файлы Lop.

Создаёт также записи:


HKEY_CLASSES_ROOT\ CLSID\ {4E7ED42A-A514-B9D8-9B26-E17880DF1234}
HKEY_CLASSES_ROOT\ CLSID\ {7657043B-CFFF-857A-FBC7-1D97745AC771}
HKEY_CLASSES_ROOT\ CLSID\ {9B4F7AE3-9BCD-47B1-1134-F393E0001771}
HKEY_CLASSES_ROOT\ CLSID\ {9B7436C7-D7E9-478A-5D10-F3A8E03B5B55}
HKEY_CURRENT_USER\ Software\ %СЛУЧАЙНОЕ_НАЗВАНИЕ%
HKEY_CURRENT_USER\ Software\ Classes\ CLSID\ {9B4F7AE3-9BCD-47B1-1134-F393E0001771}
HKEY_CURRENT_USER\ Software\ Classes\ CLSID\ {9B7436C7-D7E9-478A-5D10-F3A8E03B5B55}
HKEY_CURRENT_USER\ Software\ %СЛУЧАЙНОЕ_НАЗВАНИЕ%
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ %СЛУЧАЙНОЕ_НАЗВАНИЕ%
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Browser Helper Objects\ {4E7ED42A-A514-B9D8-9B26-E17880DF1234}
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Browser Helper Objects\ {7657043B-CFFF-857A-FBC7-1D97745AC771}
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Uninstall\ %СЛУЧАЙНОЕ_НАЗВАНИЕ%
HKEY_USERS\ S-1-5-21-*-500_Classes\ CLSID\ {9B4F7AE3-9BCD-47B1-1134-F393E0001771}
HKEY_USERS\ S-1-5-21-*-500_Classes\ CLSID\ {9B7436C7-D7E9-478A-5D10-F3A8E03B5B55}



Техническое название: Obfuscated,Swizzor,, mp3search, C2 Media, Swizzo, Adware/Lop.

Существует несколько версий приложения. Ряд веб-сайтов используют его для своей рекламы.

Написан на языке Visual C++ 7.10, сжат UPX. В распакованном виде имеет длину 791.552 байта.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Добавляет панель к Internet Explorer, якобы предоставляющую поиск в интернете, но вместо этого при поиске отображает всплывающие окна с рекламой.

Создаёт иконки со ссылками на различные сайты в "Избранном" и на Рабочем столе.

Содержит ошибку, приводящую к аварийному завершению процесса explorer.exe в случае установленного WinZip при попытке пользователя получить доступ к контекстному меню.

Легко распознаётся, поскольку заменяет главную страницу на страницу "Search the Web"

Источник: PandaSecurity.com

Troj_Vundo.BBV

Поступает на компьютер вместе с троянами Vundo или Virtumundo как библиотека DLL, экспортирующая функции для других вредоносных программ.

При запуске копирует себя в системную директорию Windows под именем [СЛУЧАЙНЫЕ_СИМВОЛЫ].dll.

Также записывает свои невредоносные компоненты:

ПУТЬ_К_ВРЕДОНОСНОЙ_ПРОГРАММЕ\ИМЯ_ПРОГРАММЫ_НАОБОРО Т.bak1 ПУТЬ_К_ВРЕДОНОСНОЙ_ПРОГРАММЕ\ИМЯ_ПРОГРАММЫ_НАОБОРО Т.ini

Обеспечивает себе автозапуск при каждом старте системы:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\[ИМЯ_ТРОЯНА_БЕЗ_РАСШИРЕНИЯ]
DllName = "%System%\{malware filename}.dll"



Регистрирует себя как Вспомогательный объект браузера (Browser Helper Object), что позволяет ему автоматически запускаться при старте браузера (Microsoft Internet Explorer):


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{СЛУЧАЙНЫЙ_CLSID}



Создаёт следующий ключ в реестре:


HKEY_CLASSES_ROOT\CLSID\{Random CLSID}\InprocServer32
(Default) = "%System%\[ИМЯ_ТРОЯНА].dll"



Может внедряться в процессы WINLOGON.EXE и EXPLORER.EXE для предотвращения своего удаления даже в Безопасном режиме (Safe Mode).

Отслеживает работу пользователя в браузере, периодически отображает всплывающие окна с рекламой в зависимости от тематики посещаемых сайтов.

Предоставляет другим вредоносным программам функции:


Создание процесса
Защита процесса от обнаружения и удаления
Вход или выход из системы
Создать нестабильность в системе



Загружает вредоносный код из интернета с URL http://???.???.235.110.

Подключается к сайтам (начало закрыто Trend Micro):


???aena.com
???tivirussecuritypro.com
???ivecleaner.com
???rorprotector.com
???rorsafe.com
???opguard.com
???sprotect.com
???stemdoctor.com
???rusguard.com
???nantispy.com
???nantispyware.com
???nantivirus.com
???nantiviruspro.com
???ndrivecleaner.com
???nfirewall.com
???nfixer.com
???npopupguard.com



Вышеперечисленные ссылки загружают фальшивые антишпионские программы.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Поступает на компьютер вместе с другими версиями трояна Vundo или Virtumundo, либо в качестве компонента другого вредоносного ПО.

Представляет собой DLL-файл, экспортирующий функции для других вредоносных программ; регистрируется как Вспомогательный объект браузера (Browser Helper Object) для Microsoft Internet Explorer; запускается вместе с браузером.

Отображает рекламу во всплывающих окнах во время веб-серфинга.

Загружает из интернета и выполняет дополнительный вредоносный код.

Источник: TrendMicro.com

Trojan.Bankpatch

При запуске создаёт файлы:


%Temp%\my.log - определяется как Trojan.Bankpatch
%System%\ldrcrpt.dat - файл, содержащий зашифрованные данные
%System%\idname.si - содержит случайное число, созданное трояном как идентификатор захваченной системы



Создаёт в реестре следующую запись:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\"w8" = "[USA_[12_ШЕСТНАДЦАТЕРИЧНЫХ_ЦИФР]"


Запускает my.log - программу, получающую набор привилегий из процесса WINLOGON.EXE.


Заражает файлы:


%System%\kernel32.dll
%System%\wininet.dll
%System%\dllcache\kernel32.dll
%System%\dllcache\wininet.dll



(Примечание: длина kernel32.dll увеличивается на 4 КБ, wininet.dll - на 12 КБ. Троян увеличивает последнюю секцию этих файлов и вставляет в неё специальный исполняемый код.)

В процессе заражения создаёт файлы:


%System%\oldkrn.tmp - резервная копия kernel32.dll
%System%\oldwin.tmp - резервная копия wininet.dll
%System%\newkrn.tmp - инфицированная копия kernel32
%System%\newwin.tmp - инфицированная копия kernel32



Для завершения процедуры заражения перезагружает компьютер.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Троян для Windows. Крадёт конфиденциальную информацию; модифицирует системные DLL.
Источник: Symantec.com

Troj/Mailbot-CG
При старте копирует себя в корневую директорию под именем fwdrv.sys; регистрирует этот файл как системный сервис с автоматическим запуском.

Создаёт запись о сервисе в разделе реестра:
HKLM\SYSTEM\CurrentControlSet\Services\fwdrv.sys

Псевдонимы: SpamTool.Win32.Agent.u, Spam-Xarvester.trojan, Spammer.Win32/Agent.U.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Найти и остановить сервис, созданный червём.
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Открывает "чёрный ход" на захваченном компьютере. Рассылает спам по запросу атакующего. Работает как системный сервис.

Infostealer.Monstres

Для проверки наличия своей копии в памяти использует мутекс "__SYSTEM__91C38905__".

Проверяет наличие в системе файла OUTPOST.EXE (Outpost Firewall).

Копирует себя в файл %System%\ntos.exe, добавляя случайное количество байт в конец.

Создаёт директорию %System%\wsnpoem с атрибутами системная и скрытая. В этой директории создаёт два файла - audio.dll для хранения собранной информации и video.dll для хранения собственных настроек.

Создаёт в реестре запись:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"pathx" = [ОРИГИНАЛЬНОЕ_ИМЯ_ТРОЯНА]



Обеспечивает себе автозапуск при каждом старте системы. Для этого модифицирует следующую запись реестра:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "%System%\userinit.exe, %System%\ntos.exe"



Встраивает код в процессы WINLOGON.EXE и SVCHOST.EXE.

Пытается создать потоки (threads) во всех процессах, кроме CSRSS.EXE.

Для синхронизации потоков использует мутексы:


__SYSTEM__23D80F10__
__SYSTEM__45A2F601__
__SYSTEM__7F4523E5__
__SYSTEM__91C38905__
__SYSTEM__64AD0625__



Для обеспечения устойчивости блокирует удаление и доступ к своим файлам и периодически перезаписывает все созданные и модифицированные записи реестра в случае их удаления.

Создаёт в реестре маркер, обозначающий, что компьютер уже захвачен:


HKEY_LOCAL_MACHINE\Software\microsoft\windows nt\currentversion\network\"UID" = "[ИМЯ_КОМПЬЮТЕРА]_[УНИКАЛЬНЫЙ_ID]"



Перехватывает API NTDLL.DLL при помощи кода, внедрённого в процессы. Список API:


NtCreateThread
LdrLoadDll
LdrGetProcedureAddress



Перехватывает API библиотеки работы с интернетом WININET.DLL для контроля над работой в Сети и кражи информации. Перехват осуществляется кодом, внедрённым в процессы. Список API:


HttpSendRequestW
HttpSendRequestA
HttpSendRequestExW
HttpSendRequestExA
InternetReadFile
InternetReadFileExW
InternetReadFileExA
InternetQueryDataAvailable
InternetCloseHandle



Также перехватывает API библиотек WS2_32.DLL и WSOCK32.DLL для тех же целей, что и WININET.DLL. Список API (отправка информации по TCP/IP и UDP, а также закрытие сокета):


send
sendto
closesocket
WSASend
WSASendTo



При посещении сайта Monster.com может перехватывать трафик, перенаправлять трафик и собирать конфиденциальную информацию, отправленную на сайт (имя, адрес электронной почты, домашний адрес, номер домашнего телефона.

Пытается переслать данные на хост 195.189.246.233.

Связывается с хостом http://195.189.246.235/spmv[УДАЛЕНО] для получения дополнительных настроек и данных для рассылки спама.

Рассылает спам по запросу; пытается использовать SMTP-сервер smtp.bizmail.yahoo.com.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Крадёт конфиденциальную информацию с захваченного компьютера, включая реквизиты, передаваемые пользователем на сайт Monsters.com. Может рассылать спам, получая инструкции с удалённого сервера.

Источник: Symantec.com

Trojan-Downloader:W32/Agent.BRK

При запуске записывает драйвер-руткит %sysdir%\drivers\runtime.sys, который определяется как Rootkit.Win32.Agent.dw.

Заменяет своим драйвером файл драйвера Microsoft Windows IPv6 Windows Firewall - %sysdir%\drivers\ip6fw.sys. Файл определяется как Rootkit.Win32.Agent.dp.

Устанавливает драйверы как сервисы и запускает их.

Запускает в скрытом режиме процесс Microsoft Internet Explorer и модифицирует его код.

Пытается подключиться к серверам с адресами 66.246.72.173, 67.18.114.98 и 208.66.194.241.

Новые варианты трояна подключаются к другим серверам: 64.233.183.27, 66.111.4.74, 194.67.23.20, 209.85.147.27, 216.157.145.27, 216.195.61.87.

Пытается загрузить с этих серверов дополнительный компонент, используя HTTP GET-запрос. В качестве параметров запроса передаёт некоторую информацию о зараженном компьютере.

Загруженный файл сохраняется как %sysdir%\[0..9]_exception.nls (определяется как Rootkit.Win32.Agent.ey). Он выполняет функции приложения для рассылки спама.

Для проверки своего присутствия в памяти троян использует мутекс "k4j.32H_f7z_Z6e.g8G0".

Псевдонимы: Agent.exj, Win32/TrojanDownloader.Agent.NPW, Trojan-Downloader:W32/Agent.EXJ, Trojan-Downloader.Win32.Agent.brk, Trojan-Downloader:W32/Agent.BOD, Agent.brk

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные трояном; восстановить изменённые настройки (использовать regedit.exe)
Найти и остановить сервисы, созданные трояном.
Действие
Загружает из интернета и выполняет дополнительный вредоносный код. Использует технологию руткитов для сокрытия своего присутствия в системе. Загружает на компьютер приложение для рассылки спама.

Источник: F-Secure.com

W32/Looked-DM

При первом запуске создаёт следующие файлы в директории Windows (%Windows%):


Logo1_.exe
RichDll.dll
\uninstall\\rundl132.exe



Может создавать файлы "_desktop.ini" в различных директориях зараженного компьютера. Это безопасные текстовые файлы, которые могут быть удалены без вреда для системы.

Записывает ссылку на себя в раздел автозагрузки реестра:


HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load = "%Windows%\uninstall\rundl132.exe"



Создаёт раздел реестра HKLM\SOFTWARE\Soft\DownloadWWW\

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Способ заражения: запись тела вируса в начало исполняемого файла, дописывание оригинального файла в конец.

Распространяется, заражая файлы в директориях общего доступа файлообменных сетей.

Открывает "чёрный ход" на зараженном компьютере.
Загружает из интернета и выполняет другой вредоносный код.

W32/Looked-DR

При запуске создаёт файлы %windir%\Logo1_.exe и %windir%\uninstall\rundl132.exe, которые определяются как Mal/Behav-085 (по классификации Sophos).

Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте системы:


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \"load" = "%windir%\uninstall\rundl132.exe"

Связывается с удалённым HTTP-сервером через свой компонент, определяемый Sophos как HTTP.W32/Looked-DR, для загрузки и выполнения дополнительного кода.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Вирус-червь. Копируюет себя на сетевые диски; заражает файлы на локальных и, иногда, сетевых дисках.

Загружает из интернета и устанавливает дополнительный вредоносный код.

Ослабляет безопасность системы, изменяя настройки защиты.

WinXDefender
Программа устанавливается пользователем вручную.

При установке создаёт следующие файлы:


C:\Documents and Settings\[ТЕКУЩИЙ_ПОЛЬЗОВАТЕЛЬ]\Application Data\WinXDefender\base.dat
C:\Documents and Settings\[ТЕКУЩИЙ_ПОЛЬЗОВАТЕЛЬ]\Application Data\WinXDefender\base2.dat
C:\Documents and Settings\[ТЕКУЩИЙ_ПОЛЬЗОВАТЕЛЬ]\Application Data\WinXDefender\Desc.dat
C:\Documents and Settings\[ТЕКУЩИЙ_ПОЛЬЗОВАТЕЛЬ]\Desktop\WinXDefender.lnk
C:\Documents and Settings\All Users\Start Menu\Programs\WinXDefender\Purchase License.lnk
C:\Documents and Settings\All Users\Start Menu\Programs\WinXDefender\Start WinXDefender.lnk
C:\Documents and Settings\All Users\Start Menu\Programs\WinXDefender\Support Page.lnk
C:\Documents and Settings\All Users\Start Menu\Programs\WinXDefender\WinXDefender Uninstall.lnk
C:\Program Files\WinXDefender\Buy.url
C:\Program Files\WinXDefender\Help.url
C:\Program Files\WinXDefender\HowToBuy.txt
C:\Program Files\WinXDefender\License.txt
C:\Program Files\WinXDefender\Lng\English.lng
C:\Program Files\WinXDefender\Uninstall.exe
C:\Program Files\WinXDefender\WinXDefender.exe



Записывает ссылку на себя в раздел реестра, обеспечивающий автозагрузку приложений при каждом запуске Windows:


HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"WinXDefender" = "C:\Program Files\WinXDefender\WinXDefender.exe"



Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные программой (использовать regedit.exe)
Действие
WinXDefender, v2.0 от SS Development, представляет собой псевдозащитную программу, отображающую ложные сообщения об угрозах. Предлагает устранить угрозы после регистрации и покупки продукта.
Источник: Symantec.com

PrivacyKit

Программа устанавливается пользователем вручную.

При инсталляции создаёт следующие файлы:


C:\Documents and Settings\'current user'\Application Data\Microsoft\Internet Explorer\Quick Launch\PrivacyKit.lnk
C:\Documents and Settings\'current user'\Desktop\PrivacyKit.lnk
C:\Documents and Settings\'current user'\Local Settings\Application Data\PrivacyKit\log
C:\Documents and Settings\All Users\Start Menu\Programs\PrivacyKit\PrivacyKit on the Web.lnk
C:\Documents and Settings\All Users\Start Menu\Programs\PrivacyKit\PrivacyKit.lnk
C:\Documents and Settings\All Users\Start Menu\Programs\PrivacyKit\Uninstall PrivacyKit.lnk
C:\Program Files\PrivacyKit\interface\English.lng
C:\Program Files\PrivacyKit\pkill.exe
C:\Program Files\PrivacyKit\Plugins\browsers\ebay_tb.en
C:\Program Files\PrivacyKit\Plugins\browsers\ebay_tb.js
C:\Program Files\PrivacyKit\Plugins\browsers\googl.en
C:\Program Files\PrivacyKit\Plugins\browsers\googl_10.en
C:\Program Files\PrivacyKit\Plugins\browsers\googl_10.js
C:\Program Files\PrivacyKit\Plugins\browsers\googl_11.en
C:\Program Files\PrivacyKit\Plugins\browsers\googl_11.js
C:\Program Files\PrivacyKit\Plugins\browsers\googl_deskbar.en
C:\Program Files\PrivacyKit\Plugins\browsers\googl_deskbar.js
C:\Program Files\PrivacyKit\Plugins\browsers\groups.en
C:\Program Files\PrivacyKit\Plugins\browsers\ie.bmp
C:\Program Files\PrivacyKit\Plugins\browsers\ie7_autocomplete .en
C:\Program Files\PrivacyKit\Plugins\browsers\ie7_autocomplete .js
C:\Program Files\PrivacyKit\Plugins\browsers\ie_autocomplete. en
C:\Program Files\PrivacyKit\Plugins\browsers\ie_autocomplete. js
C:\Program Files\PrivacyKit\Plugins\browsers\ie_bho.en
C:\Program Files\PrivacyKit\Plugins\browsers\ie_bho.js
C:\Program Files\PrivacyKit\Plugins\browsers\ie_cache.en
C:\Program Files\PrivacyKit\Plugins\browsers\ie_cache.js
C:\Program Files\PrivacyKit\Plugins\browsers\ie_cookies.en
C:\Program Files\PrivacyKit\Plugins\browsers\ie_cookies.js
C:\Program Files\PrivacyKit\Plugins\browsers\ie_ext.en
C:\Program Files\PrivacyKit\Plugins\browsers\ie_ext.js
C:\Program Files\PrivacyKit\Plugins\browsers\ie_favorites.en
C:\Program Files\PrivacyKit\Plugins\browsers\ie_favorites.js
C:\Program Files\PrivacyKit\Plugins\browsers\ie_history.en
C:\Program Files\PrivacyKit\Plugins\browsers\ie_history.js
C:\Program Files\PrivacyKit\Plugins\browsers\ie_menuext.en
C:\Program Files\PrivacyKit\Plugins\browsers\ie_menuext.js
C:\Program Files\PrivacyKit\Plugins\browsers\ie_pubwiz.en
C:\Program Files\PrivacyKit\Plugins\browsers\ie_pubwiz.js
C:\Program Files\PrivacyKit\Plugins\browsers\ie_sassist.en
C:\Program Files\PrivacyKit\Plugins\browsers\ie_sassist.js
C:\Program Files\PrivacyKit\Plugins\browsers\ie_typedurls.en
C:\Program Files\PrivacyKit\Plugins\browsers\ie_typedurls.js
C:\Program Files\PrivacyKit\Plugins\browsers\mozilla.bmp
C:\Program Files\PrivacyKit\Plugins\browsers\mozilla.en
C:\Program Files\PrivacyKit\Plugins\browsers\mozilla_bookmark s.en
C:\Program Files\PrivacyKit\Plugins\browsers\mozilla_bookmark s.js
C:\Program Files\PrivacyKit\Plugins\browsers\mozilla_cookies. en
C:\Program Files\PrivacyKit\Plugins\browsers\mozilla_cookies. js
C:\Program Files\PrivacyKit\Plugins\browsers\mozilla_formhist ory.en
C:\Program Files\PrivacyKit\Plugins\browsers\mozilla_formhist ory.js
C:\Program Files\PrivacyKit\Plugins\browsers\mozilla_lochisto ry.en
C:\Program Files\PrivacyKit\Plugins\browsers\mozilla_lochisto ry.js
C:\Program Files\PrivacyKit\Plugins\browsers\mozilla_signons. en
C:\Program Files\PrivacyKit\Plugins\browsers\mozilla_signons. js
C:\Program Files\PrivacyKit\Plugins\browsers\msn_tb.en
C:\Program Files\PrivacyKit\Plugins\browsers\msn_tb.js
C:\Program Files\PrivacyKit\Plugins\browsers\opera.bmp
C:\Program Files\PrivacyKit\Plugins\browsers\opera.en
C:\Program Files\PrivacyKit\Plugins\browsers\opera_autocomple te.en
C:\Program Files\PrivacyKit\Plugins\browsers\opera_autocomple te.js
C:\Program Files\PrivacyKit\Plugins\browsers\opera_bookmarks. en
C:\Program Files\PrivacyKit\Plugins\browsers\opera_bookmarks. js
C:\Program Files\PrivacyKit\Plugins\browsers\opera_cache.en
C:\Program Files\PrivacyKit\Plugins\browsers\opera_cache.js
C:\Program Files\PrivacyKit\Plugins\browsers\opera_contacts.e n
C:\Program Files\PrivacyKit\Plugins\browsers\opera_contacts.j s
C:\Program Files\PrivacyKit\Plugins\browsers\opera_cookies.en
C:\Program Files\PrivacyKit\Plugins\browsers\opera_cookies.js
C:\Program Files\PrivacyKit\Plugins\browsers\opera_history.en
C:\Program Files\PrivacyKit\Plugins\browsers\opera_history.js
C:\Program Files\PrivacyKit\Plugins\browsers\tb_googl.bmp
C:\Program Files\PrivacyKit\Plugins\browsers\tb_yahoo.bmp
C:\Program Files\PrivacyKit\Plugins\browsers\tb_yahoo.en
C:\Program Files\PrivacyKit\Plugins\browsers\yahoo_mess.en
C:\Program Files\PrivacyKit\Plugins\browsers\yahoo_mess.js
C:\Program Files\PrivacyKit\Plugins\browsers\yahoo_tb.en
C:\Program Files\PrivacyKit\Plugins\browsers\yahoo_tb.js
C:\Program Files\PrivacyKit\Plugins\msoffice\acdsee30_history .en
C:\Program Files\PrivacyKit\Plugins\msoffice\acdsee30_history .js
C:\Program Files\PrivacyKit\Plugins\msoffice\acdsee40_history .en
C:\Program Files\PrivacyKit\Plugins\msoffice\acdsee40_history .js
C:\Program Files\PrivacyKit\Plugins\msoffice\acdsee50_history .en
C:\Program Files\PrivacyKit\Plugins\msoffice\acdsee50_history .js
C:\Program Files\PrivacyKit\Plugins\msoffice\acdsee60_history .en
C:\Program Files\PrivacyKit\Plugins\msoffice\acdsee60_history .js
C:\Program Files\PrivacyKit\Plugins\msoffice\acdsee70_history .en
C:\Program Files\PrivacyKit\Plugins\msoffice\acdsee70_history .js
C:\Program Files\PrivacyKit\Plugins\msoffice\acdsee80_history .en
C:\Program Files\PrivacyKit\Plugins\msoffice\acdsee80_history .js
C:\Program Files\PrivacyKit\Plugins\msoffice\acroread40_histo ry.en
C:\Program Files\PrivacyKit\Plugins\msoffice\acroread40_histo ry.js
C:\Program Files\PrivacyKit\Plugins\msoffice\acroread50_histo ry.en
C:\Program Files\PrivacyKit\Plugins\msoffice\acroread50_histo ry.js
C:\Program Files\PrivacyKit\Plugins\msoffice\acroread60_histo ry.en
C:\Program Files\PrivacyKit\Plugins\msoffice\acroread60_histo ry.js
C:\Program Files\PrivacyKit\Plugins\msoffice\aftp_rhistory.en
C:\Program Files\PrivacyKit\Plugins\msoffice\aftp_rhistory.js
C:\Program Files\PrivacyKit\Plugins\msoffice\aim60.bmp
C:\Program Files\PrivacyKit\Plugins\msoffice\aim60.en
C:\Program Files\PrivacyKit\Plugins\msoffice\aim60.js
C:\Program Files\PrivacyKit\Plugins\msoffice\aph60_history.en
C:\Program Files\PrivacyKit\Plugins\msoffice\aph60_history.js
C:\Program Files\PrivacyKit\Plugins\msoffice\aph70_history.en
C:\Program Files\PrivacyKit\Plugins\msoffice\aph70_history.js
C:\Program Files\PrivacyKit\Plugins\msoffice\axiaw_history.en
C:\Program Files\PrivacyKit\Plugins\msoffice\axiaw_history.js
C:\Program Files\PrivacyKit\Plugins\msoffice\ccftp_rhistory.e n
C:\Program Files\PrivacyKit\Plugins\msoffice\ccftp_rhistory.j s
C:\Program Files\PrivacyKit\Plugins\msoffice\ccga_history.en
C:\Program Files\PrivacyKit\Plugins\msoffice\ccga_history.js
C:\Program Files\PrivacyKit\Plugins\msoffice\cftphe_rhistory. en
C:\Program Files\PrivacyKit\Plugins\msoffice\cftphe_rhistory. js
C:\Program Files\PrivacyKit\Plugins\msoffice\cftppe_rhistory. en
C:\Program Files\PrivacyKit\Plugins\msoffice\cftppe_rhistory. js
C:\Program Files\PrivacyKit\Plugins\msoffice\cftp_rhistory.en
C:\Program Files\PrivacyKit\Plugins\msoffice\cftp_rhistory.js
C:\Program Files\PrivacyKit\Plugins\msoffice\divx.en
C:\Program Files\PrivacyKit\Plugins\msoffice\divx.js
C:\Program Files\PrivacyKit\Plugins\msoffice\dm.en
C:\Program Files\PrivacyKit\Plugins\msoffice\dm.js
C:\Program Files\PrivacyKit\Plugins\msoffice\frontpage_mru.en
C:\Program Files\PrivacyKit\Plugins\msoffice\frontpage_mru.js
C:\Program Files\PrivacyKit\Plugins\msoffice\gr.en
C:\Program Files\PrivacyKit\Plugins\msoffice\gr.js
C:\Program Files\PrivacyKit\Plugins\msoffice\groups.en
C:\Program Files\PrivacyKit\Plugins\msoffice\htmlhelp_cfiles_ mru.en
C:\Program Files\PrivacyKit\Plugins\msoffice\htmlhelp_cfiles_ mru.js
C:\Program Files\PrivacyKit\Plugins\msoffice\htmlhelp_pfiles_ mru.en
C:\Program Files\PrivacyKit\Plugins\msoffice\htmlhelp_pfiles_ mru.js
C:\Program Files\PrivacyKit\Plugins\msoffice\htmlhelp_rfiles_ mru.en
C:\Program Files\PrivacyKit\Plugins\msoffice\htmlhelp_rfiles_ mru.js
C:\Program Files\PrivacyKit\Plugins\msoffice\icq2002a.en
C:\Program Files\PrivacyKit\Plugins\msoffice\icq2002a.js
C:\Program Files\PrivacyKit\Plugins\msoffice\icq2003a.en
C:\Program Files\PrivacyKit\Plugins\msoffice\icq2003a.js
C:\Program Files\PrivacyKit\Plugins\msoffice\icq2003b.en
C:\Program Files\PrivacyKit\Plugins\msoffice\icq2003b.js
C:\Program Files\PrivacyKit\Plugins\msoffice\im.bmp
C:\Program Files\PrivacyKit\Plugins\msoffice\innosetup_mru.en
C:\Program Files\PrivacyKit\Plugins\msoffice\innosetup_mru.js
C:\Program Files\PrivacyKit\Plugins\msoffice\mdw30.en
C:\Program Files\PrivacyKit\Plugins\msoffice\mdw30.js
C:\Program Files\PrivacyKit\Plugins\msoffice\mdw40.en
C:\Program Files\PrivacyKit\Plugins\msoffice\mdw40.js
C:\Program Files\PrivacyKit\Plugins\msoffice\mdwmx.en
C:\Program Files\PrivacyKit\Plugins\msoffice\mdwmx.js
C:\Program Files\PrivacyKit\Plugins\msoffice\mfmx.en
C:\Program Files\PrivacyKit\Plugins\msoffice\mfmx.js
C:\Program Files\PrivacyKit\Plugins\msoffice\mfwmx.en
C:\Program Files\PrivacyKit\Plugins\msoffice\mfwmx.js
C:\Program Files\PrivacyKit\Plugins\msoffice\miranda.bmp
C:\Program Files\PrivacyKit\Plugins\msoffice\miranda.en
C:\Program Files\PrivacyKit\Plugins\msoffice\miranda.js
C:\Program Files\PrivacyKit\Plugins\msoffice\mphe30_history.e n
C:\Program Files\PrivacyKit\Plugins\msoffice\mphe30_history.j s
C:\Program Files\PrivacyKit\Plugins\msoffice\msnm_rf.en
C:\Program Files\PrivacyKit\Plugins\msoffice\msnm_rf.js
C:\Program Files\PrivacyKit\Plugins\msoffice\nerobr_history.e n
C:\Program Files\PrivacyKit\Plugins\msoffice\nerobr_history.j s
C:\Program Files\PrivacyKit\Plugins\msoffice\oe.bmp
C:\Program Files\PrivacyKit\Plugins\msoffice\oe.en
C:\Program Files\PrivacyKit\Plugins\msoffice\oe_dbx.en
C:\Program Files\PrivacyKit\Plugins\msoffice\oe_dbx.js
C:\Program Files\PrivacyKit\Plugins\msoffice\picozip_history. en
C:\Program Files\PrivacyKit\Plugins\msoffice\picozip_history. js
C:\Program Files\PrivacyKit\Plugins\msoffice\vdub_mru.en
C:\Program Files\PrivacyKit\Plugins\msoffice\vdub_mru.js
C:\Program Files\PrivacyKit\Plugins\msoffice\wa.en
C:\Program Files\PrivacyKit\Plugins\msoffice\wa.js
C:\Program Files\PrivacyKit\Plugins\msoffice\wace_mru.en
C:\Program Files\PrivacyKit\Plugins\msoffice\wace_mru.js
C:\Program Files\PrivacyKit\Plugins\msoffice\winace_history.e n
C:\Program Files\PrivacyKit\Plugins\msoffice\winace_history.j s
C:\Program Files\PrivacyKit\Plugins\msoffice\wrar_archistory. en
C:\Program Files\PrivacyKit\Plugins\msoffice\wrar_archistory. js
C:\Program Files\PrivacyKit\Plugins\msoffice\wrar_dialogedith istory.en
C:\Program Files\PrivacyKit\Plugins\msoffice\wrar_dialogedith istory.js
C:\Program Files\PrivacyKit\Plugins\msoffice\wzip_archistory. en
C:\Program Files\PrivacyKit\Plugins\msoffice\wzip_archistory. js
C:\Program Files\PrivacyKit\Plugins\msoffice\wzip_dirhistory. en
C:\Program Files\PrivacyKit\Plugins\msoffice\wzip_dirhistory. js
C:\Program Files\PrivacyKit\Plugins\msoffice\za_logs.en
C:\Program Files\PrivacyKit\Plugins\msoffice\za_logs.js
C:\Program Files\PrivacyKit\Plugins\msoffice\zipmagic_history .en
C:\Program Files\PrivacyKit\Plugins\msoffice\zipmagic_history .js
C:\Program Files\PrivacyKit\Plugins\windows\e_compdesc.en
C:\Program Files\PrivacyKit\Plugins\windows\e_compdesc.js
C:\Program Files\PrivacyKit\Plugins\windows\e_lastvisitedmru. en
C:\Program Files\PrivacyKit\Plugins\windows\e_lastvisitedmru. js
C:\Program Files\PrivacyKit\Plugins\windows\e_logonuname.en
C:\Program Files\PrivacyKit\Plugins\windows\e_logonuname.js
C:\Program Files\PrivacyKit\Plugins\windows\e_mapnetdrivemru. en
C:\Program Files\PrivacyKit\Plugins\windows\e_mapnetdrivemru. js
C:\Program Files\PrivacyKit\Plugins\windows\e_opensavemru.en
C:\Program Files\PrivacyKit\Plugins\windows\e_opensavemru.js
C:\Program Files\PrivacyKit\Plugins\windows\e_openwithhist.en
C:\Program Files\PrivacyKit\Plugins\windows\e_openwithhist.js
C:\Program Files\PrivacyKit\Plugins\windows\e_recentdocs.en
C:\Program Files\PrivacyKit\Plugins\windows\e_recentdocs.js
C:\Program Files\PrivacyKit\Plugins\windows\e_run.en
C:\Program Files\PrivacyKit\Plugins\windows\e_run.js
C:\Program Files\PrivacyKit\Plugins\windows\e_streammru.en
C:\Program Files\PrivacyKit\Plugins\windows\e_streammru.js
C:\Program Files\PrivacyKit\Plugins\windows\e_userassist.en
C:\Program Files\PrivacyKit\Plugins\windows\e_userassist.js
C:\Program Files\PrivacyKit\Plugins\windows\e_wallpapermru.en
C:\Program Files\PrivacyKit\Plugins\windows\e_wallpapermru.js
C:\Program Files\PrivacyKit\Plugins\windows\e_wgcrawlerprinte rs.en
C:\Program Files\PrivacyKit\Plugins\windows\e_wgcrawlerprinte rs.js
C:\Program Files\PrivacyKit\Plugins\windows\e_wgcrawlershares .en
C:\Program Files\PrivacyKit\Plugins\windows\e_wgcrawlershares .js
C:\Program Files\PrivacyKit\Plugins\windows\groups.en
C:\Program Files\PrivacyKit\Plugins\windows\t_bitbucket.en
C:\Program Files\PrivacyKit\Plugins\windows\t_bitbucket.js
C:\Program Files\PrivacyKit\Plugins\windows\t_temp.en
C:\Program Files\PrivacyKit\Plugins\windows\t_temp.js
C:\Program Files\PrivacyKit\Plugins\windows\w_arpcache.en
C:\Program Files\PrivacyKit\Plugins\windows\w_arpcache.js
C:\Program Files\PrivacyKit\Plugins\windows\w_bagmru.en
C:\Program Files\PrivacyKit\Plugins\windows\w_bagmru.js
C:\Program Files\PrivacyKit\Plugins\windows\w_muicache.en
C:\Program Files\PrivacyKit\Plugins\windows\w_muicache.js
C:\Program Files\PrivacyKit\privacykit.exe
C:\Program Files\PrivacyKit\privacykit.url
C:\Program Files\PrivacyKit\unins000.dat
C:\Program Files\PrivacyKit\unins000.exe



Создаёт подключ реестра:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\PrivacyKit_is1



Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
PrivacyKit v2.1.7.0 от SS Development представляет собой псевдозащитную программу, которая сообщает о наличии на компьютере большого количества угроз и предлагает их устранить после регистрации и оплаты продукта.

Угрозы, о которых сообщает программа, не существуют, а несостоятельность отчёта видна невооружённым глазом. Например, программа обнаруживает угрозу в браузере Opera даже если он не установлен.

Источник: Symantec.com

CrisysTecSentry

Программа устанавливается пользователем вручную.

При установке создаёт следующие файлы:


%UserProfile%\Desktop\CrisysTec Sentry 3.0.lnk
%UserProfile%\Start Menu\Programs\CrisysTec Sentry\CrisysTec Sentry Help file.lnk
%UserProfile%\Start Menu\Programs\CrisysTec Sentry\CrisysTec Sentry.lnk
%UserProfile%\Start Menu\Programs\CrisysTec Sentry\Uninstall CrisysTec Sentry.lnk
%ProgramFiles%\Critical Systems Technologies\CrisysTec Sentry\BSwap.exe
%ProgramFiles%\Critical Systems Technologies\CrisysTec Sentry\INSTALL.LOG
%ProgramFiles%\Critical Systems Technologies\CrisysTec Sentry\install.sss
%ProgramFiles%\Critical Systems Technologies\CrisysTec Sentry\Plugins\Extensions.plugin_example
%ProgramFiles%\Critical Systems Technologies\CrisysTec Sentry\Plugins\Extensions83.plugin
%ProgramFiles%\Critical Systems Technologies\CrisysTec Sentry\RestoreRegistry.reg
%ProgramFiles%\Critical Systems Technologies\CrisysTec Sentry\Sentry.chm
%ProgramFiles%\Critical Systems Technologies\CrisysTec Sentry\Sentry.exe
%ProgramFiles%\Critical Systems Technologies\CrisysTec Sentry\Uninstall.exe



Записывает ссылку на себя в раздел реестра, обеспечивающий автозагрузку приложений при каждом запуске системы.


HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentV ersion\Run\"CrisysTec Sentry" = "C:\Program Files\Critical Systems Technologies\CrisysTec Sentry\Sentry.exe -Minimized"



Создаёт следующие подключи реестра:


HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF04 0-5081-101B-9F08-00AA002F954E}\Shell
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\{34BCE26E-D9F8-46CB-8A59-B473A14471F0}
HKEY_ALL_USERS\Software\Critical Systems Technologies
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\SharedDlls\C:\Program Files\Critical Systems Technologies\CrisysTec Sentry\Uninstall.exe



Модифицирует следующие подключи реестра:


HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF04 0-5081-101B-9F08-00AA002F954E}\"(Default)" = "CrisysTec Protected Recycle Bin"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF04 0-5081-101B-9F08-00AA002F954E}\LocalizedString\"(Default)" = "CrisysTec Protected Recycle Bin"



Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Программа CrisysTecSentry v3.0 от Critical Systems Technologies Inc. представляет собой псевдосканер угроз. При сканировании системы выводит сообщение о множестве обнаруженных угроз, которых на самом деле не существует. Предлагает приобрести продукт для устранения угроз.
Источник: Symantec.com

PE_Resourcer.A-O

При запуске "заражает" исполняемые файлы .exe, перечисленные в списке автозагрузки в разделе реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run .

Заражение происходит следующим образом: оригинальный файл копируется в файл с тем же именем, но расширением ".ex_", а вместо него под оригинальным именем записывается троян. При запуске трояна он выполняет файл с расширением ".ex_".

Открывает "чёрный ход" на захваченном компьютере; номер порта выбирается случайно.

Предоставляет атакующему следующие возможности:


Изменение настроек прокси
Загрузка файлов
Включение/отключение перехвата Буфера обмена (clipboard)
Просмотр, установка и удаление содержимого Буфера обмена



Пытается загружать обновления с URL http://194.126.???.157/ping/9cab1d9ec6162082e6114f54834043ba65eeb51cb1f2dfb536 2bce03b91ef800/30/1.

Псевдонимы: TR/Crypt.ULPM.Gen(Avira), Troj/DwnLdr-GXF(Sophos).

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Действие
"Заражает" исполняемые файлы .exe (PE-формата для Windows), замещая их собой и оставляя копию оригинального файла под тем же именем с расширением .ex_, которые запускает при старте. Жертвы выбирает из списка автозапускаемых приложений в реестре.

Загружает из интернета и выполняет дополнительный вредоносный код.

Открывает в системе "чёрный ход", предоставляя атакующему управление.
Источник: Trendmicro.com

Troj_Agent.AATE

Загружается с вредоносной веб-страницы с URL http://???72.com/up/Builder.exe.

При запуске ищет файлы FlashFxp.exe и LeapFtp.exe, прячет их и переименовывает в IEXPLORE.EXE (в соответствующих директориях). Копирует себя под именами FLASHFXP.EXE и LEAPFTP.EXE соответственно.

Подключается к http://???72.com/NewFTP.asp и пытается загрузить дополнительные компоненты. На момент анализа кода URL был недоступен.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Действие
Поступает в систему при посещении вредоносных веб-страниц. Загружает из интернета и выполняет дополнительный вредоносный код.
Источник: TrendMicro.com

Trojan.Randsom.B

При запуске создаёт следующие текстовые файлы:

%UserProfile%\Desktop\ASAP!!!.txt
C:\ASAP!!!.txt



Записывает в секцию автозагрузки реестра ссылку на один из вышеуказанных файлов. После перезагрузки пользователь увидит блокнот с содержимым файла.

#UK HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"Notepad" = "notepad.exe C:\ASAP!!!.txt"




Шифрует на всех дисках во всех директориях (кроме %Windir%) файлы с расширениями:


.mmf
.dbf
.txt
.xls
.doc
.pps
.ppt
.docx
.xlsx
.pptx
.rtf
.mdb
.vsd
.vst
.csv
.mpl
.zip
.rar
[БЕЗ_РАСШИРЕНИЯ]



После зашифровки открывает файл "C:\ASAP!!!.txt" при помощи Блокнота.

Содержимое файла, требующего выкуп:

Dear User,



Thank you for using our service.
We've recently inspected your system and found out
[УДАЛЕНО]
life worse.You'll certanly get the Decription Program.


Thank you ,
Network Security Audit Plus.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой
Действие
Зашифровывает файлы на захваченном компьютере и требует выкуп для получения кода расшифровки.
Источник: Symantec.com

Troj/SpamToo-AW

При запуске регистрирует себя как сервис "Windows Socket 2.0 Non-IFS Service Provider Support Environment", записывая необходимую информацию в раздел реестра HKLM\SYSTEM\CurrentControlSet\Services\WS2IFSL\.

Создаёт файл %System%\rsvp322.dll.

Создаёт ряд копий файла как %System%\rsvp322.dll[СЛУЧАЙНЫЕ_СИМВОЛЫ]. Эти файлы детектируются антивирусами Sophos как Troj/SpamToo-AR.

Также создаёт невредоносный файл %System%\sporder.dll.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Найти и остановить сервис, созданный червём.
Действие
Загружает из интернета и выполняет дополнительный вредоносный код.

Рассылает спам по заданию атакующего.

ZLFake.A

При первом запуске копирует себя в системную директорию (%System%) с именем из 8 случайных символов. Создаёт 24 задачи в "Планировщике" - от AT1.JOB до AT24.JOB.

При запуске в виртуальной машине модифицирует несколько файлов для обеспечения своей нормальной работы: WMWARERUSER.EXE и WMWARETRAY.EXE, находящиеся в "program files\VMWare\Vmware Tools\".

Связывается с удаленным сайтом http://194.12???3.157/ping/ для информирования атакующего о своём присутствии в системе.

Техническое название (PandaSecurity.com): W32/ZLFake.A.drp.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Действие
Устанавливает в "Планировщик задач" Windows (Task Scheduler) запуск себя каждый час. Подключается к удалённому URL для оповещения атакующего о присутствии в системе.
Источник: PandaSecurity.com

Worm_VB.FAX

При первом запуске копирует себя как:

%Program Files%\Windows NT\lsass.exe
%System%\drivers\smss.exe



Распространяется копированием себя на все доступные диски под именами:


Gwen(ISU) Scandal.exe
zeluR maeTCP.exe
Sex Video.exe
RECYCLER.exe



Вместе с исполняемым файлом копируется autorun.inf, обеспечивающий автозапуск трояну при подключении диска к системе.

Файл autorun.inf выглядит таким образом:


[Autorun]
Open=RECYCLER.exe
shellexecute = RECYCLER.exe
shell\Auto\command=RECYCLER.exe
Note=FuckUDoNotOpenThis



Псевдонимы: Worm.Win32.VB.ft(Kaspersky), W32/Generic.worm.h(McAfee), W32.SillyDC(Symantec), HEUR/Malware(Avira), W32/SillyFDC-Y(Sophos), Worm:Win32/VB!874C(Microsoft)

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Действие
Распространяется копированием себя на все диски, включая съёмные и гибкие.
Источник: TrendMicro.com

W32/MyDoom-BX

При первом запуске копирует себя в %System%\dvupdate.exe и создаёт файл %Temp%\[СЛУЧАЙНОЕ_ИМЯ].bat.

Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при каждом старте Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \"Driver Update" = "%System%\dvupdate.exe"

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Рассылает себя по адресам электронной почты, найденным в файлах на зараженном компьютере; использует собственную процедуру отправки почты.

Js_Psyme.AFD

При запуске пытается подключиться к одному из URL и загрузить exe-файл (на момент анализа URL были недоступны) и выполнить его, используя критическую уязвимость в функции Microsoft Data Access Component (бюллетень Microsoft MS06-014.)


http://???.182.94/xxx.exe
http://???.37.146/down/123.exe
Http://???z/111.exe
http://???f.com.cn/xxx.exe
http://???gmf.com.cn/123.exe
http://???ay.com/tsky1/002.exe
http://???o.108.tofor.com/xz.exe
http://???ee.77169.net/gmen/m/22.exe
http://www.???om/Images/gege.exe
http://www.???.cn/mm.exe
http://www.???/help.exe
http://www.???m/d.exe



Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Действие
Троянский код на JavaScript; поступает на компьютер при помощи других вредоносных программ либо при посещении пользователем вредоносных веб-страниц.

Пытается загрузить на компьютер дополнительный вредоносный код; использует критическую уязвимость в функции Microsoft Data Access Component (бюллетень Microsoft MS06-014).
Источник: TrendMicro.com

Worm_Agobot.KH

При первом запуске записывает себя в системную директорию Windows как REGSVS.EXE.

Записывает ссылку на себя в раздел реестра, обеспечивающий автозагрузку приложений при каждом старте системы.


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\Compatibility Service Process = "regsvs.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices\Compatibility Service Process = "regsvs.exe"



Удаляет файл, из которого был запущен; выполнение продолжается в REGSVS.EXE.

Распространяется, используя критические уязвимости в Windows и IIS к удалённому выполнению произвольного кода без участия пользователя


Windows RPC-DCOM (бюллетень MS03-026) - сканирует случайные IP-адреса и пытается эксплуатировать уязвимость через TCP/IP порт 135
Windows RPC Locator (бюллетень MS03-001) - порт 445
Windows NT IIS5/WEBDAV (бюллетень MS03-007)



Ищет совместно используемые сетевые ресурсы и копирует себя на них:


admin$
c$
d$
e$
print$



Если доступ на запись защищён паролем, подбирает его по словарю.

Словарь имён:


Admin
admin
administrador
Administrador
Administrat
Administrateur
administrator
Administrator
admins
computer
Convidado
Coordinatore
database
Default
default
Guest
Inviter
kanri
kanri-sha
mysql
netbios
Ospite
OWNER
owner
Owner
server
Standard
student
teacher
Verwalter
wwwadmin

Словарь паролей:


000000
00000000
111111
11111111
121212
123123
12345
123456
1234567
12345678
123456789
1234qwer
123abc
123asd
123qwe
54321
654321
88888888
abc123
admin123
alpha
asdfghjkl
changeme
enable
foobar
godblessyou
homework
ihavenopass
Internet
Login
metal
mybaby
mybox
mypass
oracle
passwd
Password
Password
password123
patrick
penis
poiuytrewq
private
pussy
qwerty
qwertyuiop
red123
school
secret
secrets
super
superman
supersecret
sybase
test123
vagina
werty
xxyyzz
zxcvbnm



Крадёт информацию о ключах к компакт-дискам следущих игр:


Battlefield 1942
Battlefield 1942 Secret Weapons of WWII
Battlefield 1942 The Road to Rome
Command & Conquer Generals
Counter-Strike
FIFA 2002
FIFA 2003
Hidden and Dangerous 2 CDKey (%s)
Nascar Racing 2002
Nascar Racing 2003
Need For Speed Hot Pursuit 2
Neverwinter
NHL 2002
NHL 2003
Nox
Project IGI 2
Red Alert 2
Soldier of Fortune II - Double Helix
Techland Chrome
The Gladiators
Tiberian Sun
Unreal Technology 2003



Завершает процессы:


_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AckWin32.EXE
ACKWIN32.EXE
ADVXDWIN.EXE
AGENTSVR.EXE
agentw.EXE
ALERTSVC.EXE
ALOGSERV.EXE
AMON9X.EXE
ANTI-TROJAN.EXE
ANTIVIRUS.EXE
ANTS.EXE
APIMONITOR.EXE
APLICA32.EXE
apvxdwin.EXE
APVXDWIN.EXE
ATCON.EXE
ATGUARD.EXE
ATRO55EN.EXE
ATUPDATER.EXE
ATWATCH.EXE
AUPDATE.EXE
AUTODOWN.EXE
AutoTrace.EXE
AUTOUPDATE.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCC32.EXE
Avgctrl.EXE
AVGCTRL.EXE
AVGNT.EXE
AvgServ.EXE
AVGSERV.EXE
AVGSERV9.EXE
AVGUARD.EXE
AVGW.EXE
avkpop.EXE
AvkServ.EXE
avkservice.EXE
avkwctl9.EXE
AVNT.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
avpm.EXE
AVPM.EXE
AVPTC32.EXE
AVPUPD.EXE
Avsched32.EXE
AvSynMgr.AVSYNMGR.EXE
AVWIN95.EXE
AVWINNT.EXE
AVWUPD32.EXE
AVWUPSRV.EXE
AVXMONITOR9X.EXE
AVXMONITORNT.EXE
AVXQUAR.EXE
BD_PROFESSIONAL.EXE
BIDEF.EXE
BIDSERVER.EXE
BIPCP.EXE
BIPCPEVALSETUP.EXE
BISP.EXE
blackd.EXE
BLACKD.EXE
BlackICE.EXE
BLACKICE.EXE
BOOTWARN.EXE
BORG2.EXE
BS120.EXE
ccApp.EXE
ccEvtMgr.EXE
ccPxySvc.EXE
CDP.EXE
CFGWIZ.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET.EXE
CFINET32.EXE
Claw95.EXE
Claw95cf.EXE
CLAW95CF.EXE
CLEAN.EXE
cleaner.EXE
CLEANER.EXE
cleaner3.EXE
CLEANER3.EXE
CLEANPC.EXE
CMGRDIAN.EXE
CMON016.EXE
CONNECTIONMONITOR.EXE
cpd.EXE
CPD.EXE
CPF9X206.EXE
CPFNT206.EXE
CTRL.EXE
CV.EXE
CWNB181.EXE
CWNTDWMO.EXE
defalert.EXE
defscangui.EXE
DEFWATCH.EXE
DEPUTY.EXE
DOORS.EXE
DPF.EXE
DPFSETUP.EXE
DRWATSON.EXE
DRWEB32.EXE
DVP95.EXE
DVP95_0.EXE
ECENGINE.EXE
EFPEADM.EXE
ENT.EXE
ESAFE.EXE
ESCANH95.EXE
ESCANHNT.EXE
ESCANV95.EXE
ESPWATCH.EXE
ETRUSTCIPE.EXE
EVPN.EXE
EXANTIVIRUS-CNET.EXE
EXE.AVXW.EXE
EXPERT.EXE
F-AGNT95.EXE
fameh32.EXE
FAST.EXE
fch32.EXE
fih32.EXE
FINDVIRU.EXE
FIREWALL.EXE
FLOWPROTECTOR.EXE
fnrb32.EXE
FPROT.EXE
F-PROT.EXE
F-PROT95.EXE
FP-WIN.EXE
FP-WIN_TRIAL.EXE
FRW.EXE
fsaa.EXE
FSAV.EXE
fsav32.EXE
FSAV530STBYB.EXE
FSAV530WTBYB.EXE
FSAV95.EXE
fsgk32.EXE
fsm32.EXE
fsma32.EXE
fsmb32.EXE
f-stopw.EXE
F-STOPW.EXE
gbmenu.EXE
GBMENU.EXE
gbpoll.EXE
GBPOLL.EXE
GENERICS.EXE
GUARD.EXE
GUARDDOG.EXE
HACKTRACERSETUP.EXE
HTLOG.EXE
HWPE.EXE
iamapp.EXE
IAMAPP.EXE
iamserv.EXE
IAMSERV.EXE
IAMSTATS.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
IFW2000.EXE
IOMON98.EXE
IPARMOR.EXE
IRIS.EXE
ISRV95.EXE
JAMMER.EXE
JEDI.EXE
KAVLITE40ENG.EXE
KAVPERS40ENG.EXE
KAVPF.EXE
KERIO-PF-213-EN-WIN.EXE
KERIO-WRL-421-EN-WIN.EXE
KERIO-WRP-421-EN-WIN.EXE
KILLPROCESSSETUP161.EXE
LDNETMON.EXE
LDPRO.EXE
LDPROMENU.EXE
LDSCAN.EXE
LOCALNET.EXE
LOCKDOWN.EXE
lockdown2000.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LSETUP.EXE
LUALL.EXE
LUAU.EXE
LUCOMSERVER.EXE
LUINIT.EXE
LUSPT.EXE
MCAGENT.EXE
MCMNHDLR.EXE
Mcshield.EXE
MCTOOL.EXE
MCUPDATE.EXE
MCVSRTE.EXE
MCVSSHLD.EXE
MFW2EN.EXE
MFWENG3.02D30.EXE
MGAVRTCL.EXE
MGAVRTE.EXE
MGHTML.EXE
MGUI.EXE
MINILOG.EXE
Monitor.EXE
MONITOR.EXE
MOOLIVE.EXE
MPFAGENT.EXE
MPFSERVICE.EXE
MPFTRAY.EXE
MRFLUX.EXE
MSCONFIG.EXE
MSINFO32.EXE
MSSMMC32.EXE
MU0311AD.EXE
MWATCH.EXE
N32SCANW.EXE
NAV Auto-Protect.NAV80TRY.EXE
NAVAP.navapsvc.EXE
NAVAPSVC.EXE
NAVAPW32.EXE
NAVDX.EXE
NAVENGNAVEX15.NAVLU32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVSTUB.EXE
Navw32.EXE
NAVW32.EXE
NAVWNT.EXE
NC2000.EXE
NCINST4.EXE
NDD32.EXE
NEOMONITOR.EXE
NeoWatchLog.EXE
NETARMOR.EXE
NETINFO.EXE
NETMON.EXE
NETSCANPRO.EXE
NETSPYHUNTER-1.2.EXE
NETSTAT.EXE
NETUTILS.EXE
NISSERV.EXE
NISUM.EXE
NMAIN.EXE
NOD32.EXE
NORMIST.EXE
NORTON_INTERNET_SECU_3.0_407.EXE
notstart.EXE
NPF40_TW_98_NT_ME_2K.EXE
NPFMESSENGER.EXE
NPROTECT.EXE
npscheck.EXE
NPSSVC.EXE
NSCHED32.EXE
ntrtscan.EXE
NTVDM.EXE
NTXconfig.EXE
Nui.EXE
Nupgrade.EXE
NVARCH16.EXE
NVC95.EXE
nvsvc32.EXE
NWINST4.EXE
NWService.EXE
NWTOOL16.EXE
OSTRONET.EXE
OUTPOST.EXE
OUTPOSTINSTALL.EXE
OUTPOSTPROINSTALL.EXE
PADMIN.EXE
PANIXK.EXE
PAVCL.EXE
pavproxy.EXE
PAVPROXY.EXE
PAVSCHED.EXE
PAVW.EXE
PCC2002S902.EXE
PCC2K_76_1436.EXE
PCCIOMON.EXE
pccntmon.EXE
pccwin97.EXE
PCCWIN98.EXE
PCDSETUP.EXE
PCFWALLICON.EXE
PCIP10117_0.EXE
pcscan.EXE
PDSETUP.EXE
PERISCOPE.EXE
PERSFW.EXE
PERSWF.EXE
PF2.EXE
PFWADMIN.EXE
PINGSCAN.EXE
PLATIN.EXE
POP3TRAP.EXE
POPROXY.EXE
POPSCAN.EXE
PORTDETECTIVE.EXE
PORTMONITOR.EXE
PPINUPDT.EXE
PPTBC.EXE
PPVSTOP.EXE
PROCESSMONITOR.EXE
PROCEXPLORERV1.0.EXE
PROGRAMAUDITOR.EXE
PROPORT.EXE
PROTECTX.EXE
PSPF.EXE
PURGE.EXE
PVIEW95.EXE
QCONSOLE.EXE
QSERVER.EXE
rapapp.EXE
RAV7.EXE
RAV7WIN.EXE
RAV8WIN32ENG.EXE
REALMON.EXE
REGEDIT.EXE
REGEDT32.EXE
RESCUE.EXE
RESCUE32.EXE
RRGUARD.EXE
RSHELL.EXE
rtvscan.EXE
RTVSCN95.EXE
RULAUNCH.EXE
SAFEWEB.EXE
sbserv.EXE
SBSERV.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SD.EXE
SERV95.EXE
SETUP_FLOWPROTECTOR_US.EXE
SETUPVAMEEVAL.EXE
SFC.EXE
SGSSFW32.EXE
SH.EXE
SHELLSPYINSTALL.EXE
SHN.EXE
SMC.EXE
SOFI.EXE
SPF.EXE
Sphinx.EXE
SPHINX.EXE
SPYXX.EXE
SS3EDIT.EXE
ST2.EXE
SUPFTRL.EXE
SUPPORTER5.EXE
SWEEP95.EXE
SweepNet.SWEEPSRV.SYS.SWNETSUP.EXE
SymProxySvc.EXE
SYMPROXYSVC.EXE
SYMTRAY.EXE
SYSEDIT.EXE
TASKMON.EXE
TAUMON.EXE
TBSCAN.EXE
TC.EXE
TCA.EXE
TCM.EXE
TDS2-98.EXE
TDS2-NT.EXE
TDS-3.EXE
TFAK.EXE
TFAK5.EXE
TGBOB.EXE
TITANIN.EXE
TITANINXP.EXE
TRACERT.EXE
TRJSCAN.EXE
TRJSETUP.EXE
TROJANTRAP3.EXE
UNDOBOOT.EXE
UPDATE.EXE
vbcmserv.EXE
VBCMSERV.EXE
VbCons.EXE
VBCONS.EXE
VBUST.EXE
VBWIN9X.EXE
VBWINNTW.EXE
VCSETUP.EXE
VET32.EXE
Vet95.EXE
VET95.EXE
VetTray.EXE
VETTRAY.EXE
VFSETUP.EXE
VIR-HELP.EXE
VIRUSMDPERSONALFIREWALL.EXE
VNLAN300.EXE
VNPC3000.EXE
VPC32.EXE
VPC42.EXE
VPFW30S.EXE
VPTRAY.EXE
VSCAN40.EXE
VSCENU6.02D30.EXE
VSCHED.EXE
VSECOMR.EXE
vshwin32.EXE
VSISETUP.EXE
VSMAIN.EXE
vsmon.EXE
VSMON.EXE
VSSTAT.EXE
VSWIN9XE.EXE
VSWINNTSE.EXE
VSWINPERSE.EXE
W32DSM89.EXE
W9X.EXE
WATCHDOG.EXE
WEBSCANX.EXE
WEBTRAP.EXE
WFINDV32.EXE
WGFE95.EXE
WHOSWATCHINGME.EXE
WIMMUN32.EXE
WINRECON.EXE
WNT.EXE
WrAdmin.EXE
WRADMIN.EXE
WrCtrl.EXE
WRCTRL.EXE
WSBGATE.EXE
WYVERNWORKSFIREWALL.EXE
XPF202EN.EXE
zapro.EXE
ZAPRO.EXE
ZAPSETUP3001.EXE
ZATUTOR.EXE
ZAUINST.EXE
ZONALM2601.EXE
zonealarm.EXE
ZONEALARM.EXE



Блокирует доступ к сайтами антивирусов, сопоставляя их доменным именам адрес локальной машины (127.0.0.1) в файле %System%\drivers\etc\hosts (Windows NT - Vista) или %Windir%\hosts (Windows 95 - ME).

Список блокируемых сайтов:


avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
kaspersky.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
my-etrust.com
nai.com
networkassociates.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
viruslist.com
viruslist.com
www.avp.com
www.ca.com
www.f-secure.com
www.grisoft.com
www.kaspersky.com
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.com



(Антивирусы Trend Micro определяют изменённый файл hosts как DOS_AGOBOT.HM.)

Ищет в сети компьютеры, зараженные червём Worm_Bagle.

Удаляет процессы, предположительно, принадлежащие другим вредоносным программам:


BBEAGLE.EXE
D3DUPDATE.EXE
I11R54N4.EXE
IRUN4.EXE
RATE.EXE
SSATE.EXE
SSATE.EXE
TASKMON.EXE
WINSYS.EXE



Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Крадёт регистрационные ключи к игровым компакт-дискам.

Ослабляет настройки безопасности системы.

Распространяется копированием на сетевые директории других компьютеров; в случае, если директория защищена от записи, пытается подобрать пароль по словарю. Также использует для внедрения на другие компьютеры критические уязвимости Windows к удаленному выполнению произвольного кода, не требующие вмешательства пользователя (MS03-026, MS03-001, MS03-007).



Открывает на компьютере "чёрный ход", подключаясь к одному из каналов IRC-сервера. Может выполнять следующие команды:


Отправить данные о скорости процессора, свободной оперативной памяти и общем объёме памяти, версии и сборке Windows, длительность работы червя в системе, имя текущего пользователя
Отключить сетевые совместно используемые директории или DCOM
Открыть и выполнить файл
Завершить работу червя
Получить состояние червя
Обновить себя через HTTP или FTP
Загрузить через HTTP или FTP и выполнить произвольный файл
Выполнить заданный EXE файл
Получить IP или имя хоста по DNS
Открыть файл
Очистить DNS-кэш
Отключиться или переподключиться к IRC-серверу
Выбрать IRC-сервер
Перезагрузить или выключить компьютер
Отключить текущего пользователя
Передать список процессов
Завершить работу процесса

Содержит процедуры для участии в DDoS-атаках через HTTP, ICMP, а также атаках типа SYN и UDP.

Обладает функционалом HTTP-прокси и может перенаправлять порты GRE и TCP.

Отключает доступ к антивирусным сайтам.

Уничтожает процессы, принадлежащие различным червям и троянам.

Источник: TrendMicro.com