Показать сообщение отдельно
Старый 08.05.2007, 18:30   #21
Abai
Ветеран
 
Аватар для Abai
 
Пол:Мужской
Регистрация: 17.11.2006
Адрес: Родные просторы
Сообщений: 14,213
Репутация: 31875
По умолчанию Re: Вирусные эпидемии! Будь бдителен!

03.03.2007
Trojan.Win32.StartPage.anh

Видимые проявления: Подмена стартовой страницы на http://www.infocontainer.com

Троянская программа, размер исполняемого файла 14848 байт, исполняемый файл не сжат и не зашифрован. В случае запуска скрытно модифицирует стартовую страницу Internet Explorer путем записи в параметр "Start Page" ключа реестра Software\Microsoft\Internet Explorer\Main значения http://www.infocontainer.com. После выполнения данной операции троянская программа завершает работу
================================================== ======

28.03.2007
Trojan.Win32.Small.kt

Видимые проявления: Посторонняя библиотека swmclip.dll

Троянская библиотека, размер 4 кб, не сжата и не зашифрована, известна под именем swmclip.dll. В теле библиотеки видны текстовые константы «Передать WM», «с протекцией сделки» и номера кошельков злоумышленника.
В момент инициализации библиотека создает поток. Поток выполняет поиск окна с заголовком «Передать WM» и кнопкой внутри. В случае его обнаружения производится открытие буфера обмена и считывание содержащихся в нем данных. Если содержимое буфера обмена начинается с буквы R, Z или E, то в буфер обмена записывается номер R, Z или E кошелька злоумышленника. После этого поток приостанавливает свою работу на 60 мс, после чего процесс повторяется.
================================================== =======

07.05.2007
Trojan.Win32.VB.atg

Троянская программа, написана на Basic, исполняемый файл известен под именем tel.xls.exe. Иконка файла визуально очень похожа на иконку документа Excel, что в сочетании двойным расширением «xls» должно вводить пользователя в заблуждение. Файл не сжат и не зашифрован, размер 45 кб.
В случае запуска скрытно выполняет следующие действия:
1. Создает файлы WINDOWS\system32\SocksA.exe, WINDOWS\system32\FileKan.exe, WINDOWS\svchost.exe, WINDOWS\Session.exe. Эти файлы содержат копию трояна. Кроме того, создается файл WINDOWS\BACKINF.TAB, по структуре являющийся файлом AUTORUN.INF с содержимым вида:

[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe
shell\Auto\command=tel.xls.exe
shell=Auto

2. Регистрирует SocksA.exe в автозапуске через ключ Run реестра
3. Запускает файл WINDOWS\svchost.exe
4. Вызывает проводник – командная строка имеет вид «explorer C:\» , после чего завершает работу
5. Троянский процесс svchost.exe выполняет в цикле операцию 1 из вышеописанного алгоритма и создает в корне диска файлы tel.xls.exe (атрибуты «скрытый», «системный») и AUTORUN.INF (атрибуты «скрытый» и «системный»). Файл AUTORUN.INF ссылается на tel.xls.exe и применяется для автозапуска трояна. Данная операция повторяется с задержкой примерно 5 секунд и применяется в качестве меры защиты от удаления. Кроме того, в трояне предусмотрена модификация параметра CheckedValue ключа реестра SOFTWARE\Microsoft\ Windows\CurrentVersion\Explorer\ Advanced\Folder\Hidden\SHOWALL. По умолчанию это значение имеет тип REG_DWORD и значение 1. Троян содержит программный код для работы с базой UFSYSTEM.
__________________

Я не волшебник, я только учусь...

Последний раз редактировалось Abai; 08.05.2007 в 18:32..
Abai вне форума
 
Ответить с цитированием Вверх
Эти 3 пользователя(ей) сказали cпасибо за это полезное сообщение:
 
Время генерации страницы 0.10960 секунды с 10 запросами