Правила Форума редакция от 22.06.2020 |
|
|
|
|
|
Опции темы | Опции просмотра | Language |
20.10.2007, 16:12 | #151 |
Ответ: Вредоносное ПО (Обзор)
|
|
Реклама: | керамическая коронка стоимость | раскладушка | ультразвуковая ванна для украшений | Conecte Bitrix24 a Smartsheet | купить табуретку с микролифтом в максидоме |
20.10.2007, 16:12 | #152 |
Ответ: Вредоносное ПО (Обзор)
|
|
01.12.2007, 16:11 | #153 |
ViP
Пол: Регистрация: 17.09.2006
Сообщений: 1,182
Репутация: 1592
|
Ответ: Вредоносное ПО (Обзор)
Trojan.Quimkit
признаки, действия и защита ©Symantec Backdoor.Pharvest признаки, действия и защита ©Symantec Последний раз редактировалось Deementor; 01.12.2007 в 16:17.. |
15.12.2007, 12:44 | #154 |
Ответ: Вирусные эпидемии! Будь бдителен!
Русские антивирусы провалили тест Virus Bulletin
для тех кому интерестно: http://cnews.ru/news/top/index.shtml?2007/12/10/278736 http://www.viruslist.com/ru/analysis...261388#avtests http://www.av-comparatives.org/ ОБСУЖДЕНИЕ
__________________
Я не волшебник, я только учусь... |
|
18.12.2007, 10:03 | #155 |
Пользователь
Пол: Регистрация: 17.12.2007
Сообщений: 40
Репутация: 8
|
Ответ: Вирусные эпидемии! Будь бдителен!
(c) virusinfo.info
Ссылка на описание и лечение вируса. virusinfo.info/showthread.php?p=161534 Trojan.Win32.BHO.abo Данная троянская программа инсталлируется эксплоитом в ходе посещения зараженных Интернет-ресурсов. Визуальное проявление эксплоита - свернутое окно IE с надписью "Loading:". Эксплоит загружает и запускает файл installer.exe размером 107520 байт, данный зловред детектируется ЛК как Trojan-Spy.Win32.BZub.buz. По количеству пострадавших, обратившихся за помощью в конференцию virusinfo.Info можно констатировать, что возникла эпидемия данного зловреда. Будучи запущенным installer.exe скрытно выполняет следующие операции: 1. Выполняет ряд странных манипуляций с файлами, модифицирует заголовок своего окна и затем выполняет поиск окна с именем, который он установил ранее. По видимому эти операции применяются как элементы антиэвритики и антиэмуляции 2. Изучает список запущенных процессов 3. Осуществляет поиск и удаление файла WINDOWS\system32\avwa.dll 4. Создает в папке Temp файл с именем типа datXXXX.TMP, записывает в него PE файл и затем копирует полученный файл под именем WINDOWS\system32\avwa.dll. После копирования файл avwa.dll загружается (сам зловред написан на Delphi, размер 84 кб, сжат UPX) 5. Анализирует ключ Run в реестре, удаляет из него элементы, принадлежащие антивирусному и анти-шпионскому ПО 6. Регистрирует BHO и CLSID {00007D9C-4DC7-0000-A334-000024190000}, исполняемый файл avwa.dll. Регистрация в качестве BHO применяется в качестве автозапуска. 7. Пытается переименовать файлы в папке system32: ipv6mopz.dll, ipv6monq.dll, ipv6mote.dll, ipv6motp.dll, AClient.dll (новое имя файла отличается расширением "dl_") На заметку: имя файла "avwa.dll" дано в качестве примера - имя меняется при каждой установке, известно, например имя blackbo.dll, dinputd.dll и т.п. Аналогично происходит с CLSID, который изменяется при каждом новом заражении ПК Для защиты от обнаружения и удаления зловред устанавливает KernelMode драйвер, который защищает себя и библиотеку зловреда, блокируя их открытие (при этом сами файлы не маскируются). Имя драйвера меняется, расширение у известных разновидностей *.DAT (например ahwvwcrg.dat), драйвер размещается в папке system32\Drivers. Блокировка доступа к файлам реализована при помощи перехвата функции ObOpenObjectByName. В случае нейтрализации перехвата AVZ выводит сообщение о подозрении на руткит с указанием полного имени драйвера руткита. Деятельность зловреда сводится к тому, что он выводит сообщения о наличие на ПК шпионского ПО (видимо имея в виду самого себя) и предлагая скачать программу SanitarDiska, открывая его домашнюю страничку. Кроме того, зловред модифицирует домашнюю страницу IE, заменяя ее на google. Последний раз редактировалось Dark Rainfal; 18.12.2007 в 10:06.. |
18.12.2007, 16:23 | #156 |
Неактивный пользователь
Регистрация: 28.02.2006
Сообщений: 18
Репутация: 152
|
ОПИСАНИЕ падонковских вирусяков
ВСЕМ для инфы WinNT.Annigilator v0.1 WinNT.Annigilator v0.1 - полиморфный вирус, написанный на ассемблере (~5000 строк, 75кб) Размер: 7кб. К вирусу прилагается программа-редактор списков плагинов, тоже написанная на ассемблере. Программа имеет русский интерфейс. Сделан только для nt систем и на 9х не работает. Автор: xh4ck Уникальные возможности: - Поддержка плагинов. Скачивается список плагинов с сервера, производится обновление плагинов, и, если нужно - удаление. Вся дополнительная функциональность реализована в виде плагинов (exe или dll) - Каждый плагин может находиться на отдельном сервере и иметь любой размер (в разумных пределах) - Вирус заражает все файлы, запущенные после него. Для этого он замещает функцию CreateProcessInternalW (см. комментарии в коде) Метод заражения: увеличение размера последней секции, оверлей файла не трогается. - Вирус не заражает установочные файлы и файлы с большим размером (чтобы не отнимать память и не замедлять работу компьютера) - Если вирус запустить с параметром "-infect %file%", где %file% - любой exe-шник. Вирус заразаит этот файл и завершит свою работу. - Шифрование: вирус при шифровании использует несколько различных ключей и обратимых операций. - Полиморфизм: каждый раз процедура шифрования генерируется заново и имеет всегда различный код, каждая операция представлена несколькими ее вариантами, + используется генератор мусорных инструкций, что в сумме позволяет добиться почти полной неповторимости кода. - При заражении незначительно увеличивает размер файла - Обходит файрвол - Не имеет собственного процесса и использует перпроцессную резидентность Плагины: - Тырелка всех паролей на основе Pinch2Alpha, код доработан - HTTP прокси сервер - SOCKS 5 прокси сервер. Исходняки прилагаются. http://hellknights.void.ru/releases/WinNTAnnigilatorv01.rar ++++++++++++++++++++++++++++++++++++++++++++++ Trojan-Downloader. Win32.Small.skn Троянская программа, загружающая из интернета файлы без ведома пользователя. Является приложением Windows (PE EXE-файл). Упакована UPX. Размер файла — около 6 КБ. Размер в распакованном виде — около 32 КБ. Деструктивная активность После запуска программа проверяет наличие выполняющейся своей второй копии, если таковая имеется, то программа завершает свою работу. В противном случае, программа получает из интернета список URL, с которых должна производиться загрузка вредоносных программ и сохраняет его в зашифрованном виде в файле svcp.csv в системном каталогеWindows. После этого загружает указанные файлы и запускает их. Файлы сохраняются в системном каталоге Windows с их оригинальными именами. Программа для хранения своих данных также использует файл winsub.xml в системном каталоге Windows и следующий ключ реестра: [HKEY_CURRENT_USER] "WindowsSubVersion" +++++++++++++++++++++++++++++++++++++ Trojan-Downloader. Win32.Getfiles Троянская программа, загружающая из интернета файлы без ведома пользователя. Является приложением Windows (PE EXE-файл). Написана на языке Borland Delphi. Ничем не упакована. Размер зараженного файла — 43008 байт. Деструктивная активность После запуска программа загружает из Интернета файл http://www.alibaba***.net/teens.exe (на момент создания описания данная ссылка не работала) и сохраняет его в корневой каталог Windows: %Windir%\teens.exe После чего скаченный файл запускается на исполнение. В различных версиях данного троянца имя скаченного файла может варьироваться. Другие названия Trojan-Downloader.Win32.Getfiles («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Getfiles («Лаборатория Касперского»), Generic Downloader.c (McAfee), Downloader (Symantec), Trojan.DownLoader.43008 (Doctor Web), TrojanDownloader:Win32/Erom (RAV), TROJ_EROM.A (Trend Micro), TR/Dldr.Getfiles.3 (H+BEDV), Downloader.Getfiles (Grisoft), Trojan.Downloader.Getfiles.B (SOFTWIN), Trojan Horse (Panda), Win32/TrojanDownloader.GetFiles.A (Eset) ++++++++++++++++++++++++++++++++++++++++++++ Trojan-Downloader.Win32. Small.cop Троянская программа, загружающая из интернета файлы без ведома пользователя. Является приложением Windows (PE EXE-файл). Ничем не упакована. Размер зараженного файла — 3584 байта. Деструктивная активность После запуска троянец ждёт подключения зараженного компьютера к интернету. После чего пытается загрузить файл с URL http://**.249.23.82/ntraf12.dat и сохранить его во временном каталоге Windows под именем msdoc.exe: %Temp%\msdoc.exe На момент создания описания данная ссылка не работала. После сохранения на диске загруженный файл запускается на исполнение. Также троянец производит HTTP-запросы к различным URL, в которых указывается уникальный идентификатор компьютера. +++++++++++++++++++++++++++++++++++++++++++++++++ Trojan-Downloader.Win32. Small.cjs Троянская программа, загружающая из интернета файлы без ведома пользователя. Является приложением Windows (PE EXE-файл). Написана на Visual C++. Упакована UPX. Размер зараженного файла — 13824 байта. Размер распакованного — около 46 КБ. Деструктивная активность После запуска троянец загружает с URL http://www.www2.p***2.com другую троянскую программу и запускает ее. При этом оригинальный запускаемый файл удаляется. В свою очередь скачанный троянец может загружать из интернета различные рекламные программы и запускать их на зараженном компьютере. ++++++++++++++++++++++++++++++++++++++++++++++++++ Virus.Win32. Cornad Файловый вирус. Представляет собой Windows PE EXE-файл. Имеет размер 4096 байт. Имеет функцию копирования на диск A:. Деструктивная активность При запуске ищет файлы с расширением .exe в текущем каталоге, копирует имя файла и сохраняет исходный файл как .exe.acid, изменяя атрибуты файла на «скрытый» и «только для чтения». А непосредственно сам вирус копируется в файл с оригинальным именем заражаемого файла. Также в корневом каталоге Windows вирус создает файл с именем CornishAcid.txt: %Windir%\CornishAcid.txt Данный файл имеет следующее содержание: w32.CornishAcid- Written on a fine thursday evening, by Kefi... Just for something to do other than sit on my ass...) Есливдисководвставленадискета, товирускопируетсянанеёвкорневуюдиректориювфайлсименем CornishAcid.exe. Другиеназвания Virus.Win32.Cornad («ЛабораторияКасперского») такжеизвестенкак: Win32.Cornad («ЛабораторияКасперского»), W32/Corn.cmp (McAfee), Trojan Horse (Symantec), Win32.Kefi.4096 (Doctor Web), W32/Corn-A (Sophos), Win32/Corn.A (RAV), PE_CORN.A (Trend Micro), W32/CornIsAcid.2 (H+BEDV), W32/Cacid.A (FRISK), Win32:Cornad (ALWIL), Win32/Cornish.A (Grisoft), Win32.HLLC.CornAcid.4096 (SOFTWIN), W32.Cacid.A (ClamAV), W32/Cornd.A (Panda), Win32/HLLC.Cidor.A (Eset) ++++++++++++++++++++++++++++++++++++++++++++++++++ +++++++ Virus.Win32. Bobep Файловый вирус. Представляет собой Windows PE EXE-файл. Работает под операционной системой Windows 98. Деструктивная активность При запуске ищет файлы с расширением exe в текущем каталоге и в корневом каталоге Windows (%WinDir%), копирует имя файла и сохраняет исходный файл как .sys, а сам переименовывает себя в .exe. Система продолжает работать до того момента пока не будет запущен один из зараженных файлов Windows. При перезагрузке или выключении компьютера, система зависнет и больше не загрузится. Присутствует проверка на наличие запущенных антивирусов. Вирус ищет следующие строки в заголовках окон: AVP Monitor FP-WIN McAfee VShield NAVAPW32 SCAN32 И если находит, то закрывает эти окна. Содержит следующую строку: Win32.Bebop coded by DiA ©2003 [GermanY] Другие названия Virus.Win32.Bobep («Лаборатория Касперского») также известен как: Win32.Bobep («Лаборатория Касперского»), W32/Bobep.cmp.a (McAfee), W32.Bopeb (Symantec), Win32.Bebop.8192 (Doctor Web), W32/Bobep-A (Sophos), Win32/Bobep.A (RAV), PE_BOBEP.A (Trend Micro), W32/Bebop.A (FRISK), Win32:Bobep (ALWIL), Win32/Bobep.A (Grisoft), Win32.Bobep.A (SOFTWIN), W32/Bobep.A (Panda), Win32/Bobep.A (Eset)
__________________
Коль угодил тебе, сделай и мне приятное жмакни на "СПАСИБО" |
Эти 2 пользователя(ей) сказали cпасибо за это полезное сообщение: |
18.12.2007, 16:29 | #157 |
Неактивный пользователь
Регистрация: 28.02.2006
Сообщений: 18
Репутация: 152
|
продолжение: ОПИСАНИЕ падонковских вирусяков
Trojan.Win32. Qhost.hl
Trojan-Spy.HTML. Wamufraud.ai Trojan-Downloader. Win32.PurityScan.d Trojan-Downloader. Win32.Akcom.10 Backdoor.Win32. SdBot.at
__________________
Коль угодил тебе, сделай и мне приятное жмакни на "СПАСИБО" Последний раз редактировалось Deementor; 20.12.2007 в 07:45.. |
Сказали спасибо: |
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Rapidweaver 3.5: ОБЗОР и доп. темы | DoOo | Mac Os X | 30 | 09.07.2016 16:08 |
Обзор мотоподвесов | ANGEL OF FIRE | Мотоподвесы и позиционеры | 78 | 28.11.2013 21:11 |
ХР тюнинг (Обзор софта) | UlyssesD | Софт для изменения GUI/Design GUI | 28 | 12.02.2011 13:12 |
Обзор шпионских программ | sternev | Хакинг в глобальной сети WWW | 47 | 08.04.2008 11:27 |
|
|