Компьютерный форум NoWa.cc Здесь может быть Ваша реклама
Правила Форума
редакция от 22.06.2020
Портал .::2BakSa.WS::.
Вернуться   Компьютерный форум NoWa.cc > Компьютеры и Интернет > Интернет партизаны > Антихакинг

Уважаемые пользователи nowa.cc и 2baksa.ws. У нас сложилось тяжёлое финансовое положение. Мы работаем для вас вот уже более 15 лет и сейчас вынуждены просить о помощи. Окажите посильную поддержку проектам. Мы очень надеемся на вас. Реквизиты для переводов ниже.
Webmoney Webmoney WMZ: 826074280762 Webmoney WME: 804621616710
PayPal PayPal_Email E-mail для связи по вопросу помощи
Кошелёк для вашей помощи YooMoney 4100117770549562
YooMoney Спасибо за поддержку!
Ответ
 
Опции темы Опции просмотра Language
Старый 20.10.2007, 16:12   #151
lastmylove
Злодей ..
 
Аватар для lastmylove
 
Пол:Мужской
Регистрация: 09.06.2006
Сообщений: 5,045
По умолчанию Ответ: Вредоносное ПО (Обзор)

Worm_Nuvar.arc

Признаки, действие и защита

источник: TrendMicro.com
lastmylove вне форума
 
Ответить с цитированием Вверх
Здесь может быть Ваша реклама
Здесь может быть Ваша реклама


Реклама: керамическая коронка стоимостьраскладушкаультразвуковая ванна для украшенийConecte Bitrix24 a Smartsheetкупить табуретку с микролифтом в максидоме


Старый 20.10.2007, 16:12   #152
lastmylove
Злодей ..
 
Аватар для lastmylove
 
Пол:Мужской
Регистрация: 09.06.2006
Сообщений: 5,045
По умолчанию Ответ: Вредоносное ПО (Обзор)

W32.Debanpass

Признаки, действие и защита

источник: Symantec.com
lastmylove вне форума
 
Ответить с цитированием Вверх
Старый 01.12.2007, 16:11   #153
Deementor
ViP
 
Пол:Мужской
Регистрация: 17.09.2006
Сообщений: 1,182
Репутация: 1592
По умолчанию Ответ: Вредоносное ПО (Обзор)

Trojan.Quimkit
признаки, действия и защита
©Symantec

Backdoor.Pharvest
признаки, действия и защита
©Symantec

Последний раз редактировалось Deementor; 01.12.2007 в 16:17..
Deementor вне форума
 
Ответить с цитированием Вверх
Старый 15.12.2007, 12:44   #154
Abai
Ветеран
 
Аватар для Abai
 
Пол:Мужской
Регистрация: 17.11.2006
Адрес: Родные просторы
Сообщений: 11,924
Репутация: 32375
По умолчанию Ответ: Вирусные эпидемии! Будь бдителен!

Русские антивирусы провалили тест Virus Bulletin

для тех кому интерестно:
http://cnews.ru/news/top/index.shtml?2007/12/10/278736
http://www.viruslist.com/ru/analysis...261388#avtests
http://www.av-comparatives.org/
ОБСУЖДЕНИЕ
__________________

Я не волшебник, я только учусь...
Abai вне форума
 
Ответить с цитированием Вверх
Старый 18.12.2007, 10:03   #155
Dark Rainfal
Пользователь
 
Пол:Мужской
Регистрация: 17.12.2007
Сообщений: 40
Репутация: 8
По умолчанию Ответ: Вирусные эпидемии! Будь бдителен!

(c) virusinfo.info

Ссылка на описание и лечение вируса.
virusinfo.info/showthread.php?p=161534

Trojan.Win32.BHO.abo

Данная троянская программа инсталлируется эксплоитом в ходе посещения зараженных Интернет-ресурсов. Визуальное проявление эксплоита - свернутое окно IE с надписью "Loading:". Эксплоит загружает и запускает файл installer.exe размером 107520 байт, данный зловред детектируется ЛК как Trojan-Spy.Win32.BZub.buz. По количеству пострадавших, обратившихся за помощью в конференцию virusinfo.Info можно констатировать, что возникла эпидемия данного зловреда.
Будучи запущенным installer.exe скрытно выполняет следующие операции:
1. Выполняет ряд странных манипуляций с файлами, модифицирует заголовок своего окна и затем выполняет поиск окна с именем, который он установил ранее. По видимому эти операции применяются как элементы антиэвритики и антиэмуляции
2. Изучает список запущенных процессов
3. Осуществляет поиск и удаление файла WINDOWS\system32\avwa.dll
4. Создает в папке Temp файл с именем типа datXXXX.TMP, записывает в него PE файл и затем копирует полученный файл под именем WINDOWS\system32\avwa.dll. После копирования файл avwa.dll загружается (сам зловред написан на Delphi, размер 84 кб, сжат UPX)
5. Анализирует ключ Run в реестре, удаляет из него элементы, принадлежащие антивирусному и анти-шпионскому ПО
6. Регистрирует BHO и CLSID {00007D9C-4DC7-0000-A334-000024190000}, исполняемый файл avwa.dll. Регистрация в качестве BHO применяется в качестве автозапуска.
7. Пытается переименовать файлы в папке system32: ipv6mopz.dll, ipv6monq.dll, ipv6mote.dll, ipv6motp.dll, AClient.dll (новое имя файла отличается расширением "dl_")
На заметку: имя файла "avwa.dll" дано в качестве примера - имя меняется при каждой установке, известно, например имя blackbo.dll, dinputd.dll и т.п. Аналогично происходит с CLSID, который изменяется при каждом новом заражении ПК

Для защиты от обнаружения и удаления зловред устанавливает KernelMode драйвер, который защищает себя и библиотеку зловреда, блокируя их открытие (при этом сами файлы не маскируются). Имя драйвера меняется, расширение у известных разновидностей *.DAT (например ahwvwcrg.dat), драйвер размещается в папке system32\Drivers. Блокировка доступа к файлам реализована при помощи перехвата функции ObOpenObjectByName. В случае нейтрализации перехвата AVZ выводит сообщение о подозрении на руткит с указанием полного имени драйвера руткита.

Деятельность зловреда сводится к тому, что он выводит сообщения о наличие на ПК шпионского ПО (видимо имея в виду самого себя) и предлагая скачать программу SanitarDiska, открывая его домашнюю страничку. Кроме того, зловред модифицирует домашнюю страницу IE, заменяя ее на google.

Последний раз редактировалось Dark Rainfal; 18.12.2007 в 10:06..
Dark Rainfal вне форума
 
Ответить с цитированием Вверх
Старый 18.12.2007, 16:23   #156
garikkirag
Неактивный пользователь
 
Регистрация: 28.02.2006
Сообщений: 18
Репутация: 152
Exclamation ОПИСАНИЕ падонковских вирусяков

ВСЕМ для инфы

WinNT.Annigilator v0.1
WinNT.Annigilator v0.1 - полиморфный вирус, написанный на ассемблере (~5000 строк, 75кб) Размер: 7кб. К вирусу прилагается программа-редактор списков плагинов, тоже написанная на ассемблере. Программа имеет русский интерфейс. Сделан только для nt систем и на 9х не работает. Автор: xh4ck
Уникальные возможности:
- Поддержка плагинов. Скачивается список плагинов с сервера, производится обновление плагинов, и, если нужно - удаление. Вся дополнительная функциональность реализована в виде плагинов (exe или dll)
- Каждый плагин может находиться на отдельном сервере и иметь любой размер (в разумных пределах)
- Вирус заражает все файлы, запущенные после него. Для этого он замещает функцию CreateProcessInternalW (см. комментарии в коде) Метод заражения: увеличение размера последней секции, оверлей файла не трогается.
- Вирус не заражает установочные файлы и файлы с большим размером (чтобы не отнимать память и не замедлять работу компьютера) - Если вирус запустить с параметром "-infect %file%", где %file% - любой exe-шник. Вирус заразаит этот файл и завершит свою работу.
- Шифрование: вирус при шифровании использует несколько различных ключей и обратимых операций.
- Полиморфизм: каждый раз процедура шифрования генерируется заново и имеет всегда различный код, каждая операция представлена несколькими ее вариантами, + используется генератор мусорных инструкций, что в сумме позволяет добиться почти полной неповторимости кода. - При заражении незначительно увеличивает размер файла
- Обходит файрвол
- Не имеет собственного процесса и использует перпроцессную резидентность
Плагины:
- Тырелка всех паролей на основе Pinch2Alpha, код доработан
- HTTP прокси сервер
- SOCKS 5 прокси сервер.
Исходняки прилагаются.

http://hellknights.void.ru/releases/WinNTAnnigilatorv01.rar

++++++++++++++++++++++++++++++++++++++++++++++
Trojan-Downloader. Win32.Small.skn
Троянская программа, загружающая из интернета файлы без ведома пользователя.
Является приложением Windows (PE EXE-файл). Упакована UPX. Размер файла — около 6 КБ. Размер в распакованном виде — около 32 КБ.
Деструктивная активность
После запуска программа проверяет наличие выполняющейся своей второй копии, если таковая имеется, то программа завершает свою работу.

В противном случае, программа получает из интернета список URL, с которых должна производиться загрузка вредоносных программ и сохраняет его в зашифрованном виде в файле svcp.csv в системном каталогеWindows. После этого загружает указанные файлы и запускает их. Файлы сохраняются в системном каталоге Windows с их оригинальными именами.
Программа для хранения своих данных также использует файл winsub.xml в системном каталоге Windows и следующий ключ реестра:
[HKEY_CURRENT_USER]
"WindowsSubVersion"

+++++++++++++++++++++++++++++++++++++
Trojan-Downloader. Win32.Getfiles
Троянская программа, загружающая из интернета файлы без ведома пользователя.

Является приложением Windows (PE EXE-файл). Написана на языке Borland Delphi. Ничем не упакована. Размер зараженного файла — 43008 байт.
Деструктивная активность
После запуска программа загружает из Интернета файл http://www.alibaba***.net/teens.exe (на момент создания описания данная ссылка не работала) и сохраняет его в корневой каталог Windows:
%Windir%\teens.exe
После чего скаченный файл запускается на исполнение.
В различных версиях данного троянца имя скаченного файла может варьироваться.
Другие названия
Trojan-Downloader.Win32.Getfiles («Лаборатория Касперского») также известен как: TrojanDownloader.Win32.Getfiles («Лаборатория Касперского»), Generic Downloader.c (McAfee), Downloader (Symantec), Trojan.DownLoader.43008 (Doctor Web), TrojanDownloader:Win32/Erom (RAV), TROJ_EROM.A (Trend Micro), TR/Dldr.Getfiles.3 (H+BEDV), Downloader.Getfiles (Grisoft), Trojan.Downloader.Getfiles.B (SOFTWIN), Trojan Horse (Panda), Win32/TrojanDownloader.GetFiles.A (Eset)


++++++++++++++++++++++++++++++++++++++++++++
Trojan-Downloader.Win32. Small.cop
Троянская программа, загружающая из интернета файлы без ведома пользователя.
Является приложением Windows (PE EXE-файл). Ничем не упакована. Размер зараженного файла — 3584 байта.
Деструктивная активность
После запуска троянец ждёт подключения зараженного компьютера к интернету. После чего пытается загрузить файл с URL http://**.249.23.82/ntraf12.dat и сохранить его во временном каталоге Windows под именем msdoc.exe:
%Temp%\msdoc.exe
На момент создания описания данная ссылка не работала.
После сохранения на диске загруженный файл запускается на исполнение.
Также троянец производит HTTP-запросы к различным URL, в которых указывается уникальный идентификатор компьютера.

+++++++++++++++++++++++++++++++++++++++++++++++++
Trojan-Downloader.Win32. Small.cjs
Троянская программа, загружающая из интернета файлы без ведома пользователя.
Является приложением Windows (PE EXE-файл). Написана на Visual C++. Упакована UPX. Размер зараженного файла — 13824 байта. Размер распакованного — около 46 КБ.
Деструктивная активность
После запуска троянец загружает с URL http://www.www2.p***2.com другую троянскую программу и запускает ее. При этом оригинальный запускаемый файл удаляется.
В свою очередь скачанный троянец может загружать из интернета различные рекламные программы и запускать их на зараженном компьютере.

++++++++++++++++++++++++++++++++++++++++++++++++++
Virus.Win32. Cornad
Файловый вирус. Представляет собой Windows PE EXE-файл. Имеет размер 4096 байт. Имеет функцию копирования на диск A:.
Деструктивная активность
При запуске ищет файлы с расширением .exe в текущем каталоге, копирует имя файла и сохраняет исходный файл как .exe.acid, изменяя атрибуты файла на «скрытый» и «только для чтения». А непосредственно сам вирус копируется в файл с оригинальным именем заражаемого файла.
Также в корневом каталоге Windows вирус создает файл с именем CornishAcid.txt:
%Windir%\CornishAcid.txt
Данный файл имеет следующее содержание:
w32.CornishAcid-
Written on a fine thursday evening, by Kefi...
Just for something to do other than sit on my ass...)
Есливдисководвставленадискета, товирускопируетсянанеёвкорневуюдиректориювфайлсименем CornishAcid.exe.
Другиеназвания
Virus.Win32.Cornad («ЛабораторияКасперского») такжеизвестенкак: Win32.Cornad («ЛабораторияКасперского»), W32/Corn.cmp (McAfee), Trojan Horse (Symantec), Win32.Kefi.4096 (Doctor Web), W32/Corn-A (Sophos), Win32/Corn.A (RAV), PE_CORN.A (Trend Micro), W32/CornIsAcid.2 (H+BEDV), W32/Cacid.A (FRISK), Win32:Cornad (ALWIL), Win32/Cornish.A (Grisoft), Win32.HLLC.CornAcid.4096 (SOFTWIN), W32.Cacid.A (ClamAV), W32/Cornd.A (Panda), Win32/HLLC.Cidor.A (Eset)

++++++++++++++++++++++++++++++++++++++++++++++++++ +++++++
Virus.Win32. Bobep
Файловый вирус. Представляет собой Windows PE EXE-файл. Работает под операционной системой Windows 98.
Деструктивная активность
При запуске ищет файлы с расширением exe в текущем каталоге и в корневом каталоге Windows (%WinDir%), копирует имя файла и сохраняет исходный файл как .sys, а сам переименовывает себя в .exe.
Система продолжает работать до того момента пока не будет запущен один из зараженных файлов Windows. При перезагрузке или выключении компьютера, система зависнет и больше не загрузится.
Присутствует проверка на наличие запущенных антивирусов.
Вирус ищет следующие строки в заголовках окон:
AVP Monitor
FP-WIN
McAfee VShield
NAVAPW32
SCAN32
И если находит, то закрывает эти окна.
Содержит следующую строку:
Win32.Bebop coded by DiA ©2003 [GermanY]
Другие названия
Virus.Win32.Bobep («Лаборатория Касперского») также известен как: Win32.Bobep («Лаборатория Касперского»), W32/Bobep.cmp.a (McAfee), W32.Bopeb (Symantec), Win32.Bebop.8192 (Doctor Web), W32/Bobep-A (Sophos), Win32/Bobep.A (RAV), PE_BOBEP.A (Trend Micro), W32/Bebop.A (FRISK), Win32:Bobep (ALWIL), Win32/Bobep.A (Grisoft), Win32.Bobep.A (SOFTWIN), W32/Bobep.A (Panda), Win32/Bobep.A (Eset)
__________________
Коль угодил тебе, сделай и мне приятное жмакни на "СПАСИБО"
garikkirag вне форума
 
Ответить с цитированием Вверх
Эти 2 пользователя(ей) сказали cпасибо за это полезное сообщение:
Старый 18.12.2007, 16:29   #157
garikkirag
Неактивный пользователь
 
Регистрация: 28.02.2006
Сообщений: 18
Репутация: 152
Exclamation продолжение: ОПИСАНИЕ падонковских вирусяков

Trojan.Win32. Qhost.hl

Trojan-Spy.HTML. Wamufraud.ai

Trojan-Downloader. Win32.PurityScan.d

Trojan-Downloader. Win32.Akcom.10

Backdoor.Win32. SdBot.at
__________________
Коль угодил тебе, сделай и мне приятное жмакни на "СПАСИБО"

Последний раз редактировалось Deementor; 20.12.2007 в 07:45..
garikkirag вне форума
 
Ответить с цитированием Вверх
Старый 22.02.2008, 08:57   #158
lastmylove
Злодей ..
 
Аватар для lastmylove
 
Пол:Мужской
Регистрация: 09.06.2006
Сообщений: 5,045
По умолчанию Ответ: Вредоносное ПО (Обзор)

Червь W32.Korron.A

Описание

источник: Symantec.com
lastmylove вне форума
 
Ответить с цитированием Вверх
Старый 22.02.2008, 08:58   #159
lastmylove
Злодей ..
 
Аватар для lastmylove
 
Пол:Мужской
Регистрация: 09.06.2006
Сообщений: 5,045
По умолчанию Ответ: Вредоносное ПО (Обзор)

Червь W32.Joydotto

Описание

источник: Symantec.com
lastmylove вне форума
 
Ответить с цитированием Вверх
Старый 22.02.2008, 08:58   #160
lastmylove
Злодей ..
 
Аватар для lastmylove
 
Пол:Мужской
Регистрация: 09.06.2006
Сообщений: 5,045
По умолчанию Ответ: Вредоносное ПО (Обзор)

Червь Wow.SI

Описание

источник: PandaSecurity.com
lastmylove вне форума
 
Ответить с цитированием Вверх
Старый 22.02.2008, 08:59   #161
lastmylove
Злодей ..
 
Аватар для lastmylove
 
Пол:Мужской
Регистрация: 09.06.2006
Сообщений: 5,045
По умолчанию Ответ: Вредоносное ПО (Обзор)

Червь Chike.B

Описание

источник: PandaSecurity.com
lastmylove вне форума
 
Ответить с цитированием Вверх
Старый 22.02.2008, 08:59   #162
lastmylove
Злодей ..
 
Аватар для lastmylove
 
Пол:Мужской
Регистрация: 09.06.2006
Сообщений: 5,045
По умолчанию Ответ: Вредоносное ПО (Обзор)

Червь Lineage.HIT

Описание

источник: PandaSecurity.com
lastmylove вне форума
 
Ответить с цитированием Вверх
Старый 22.02.2008, 09:00   #163
lastmylove
Злодей ..
 
Аватар для lastmylove
 
Пол:Мужской
Регистрация: 09.06.2006
Сообщений: 5,045
По умолчанию Ответ: Вредоносное ПО (Обзор)

Червь Dung.A

Описание

источник: PandaSecurity.com
lastmylove вне форума
 
Ответить с цитированием Вверх
Старый 22.02.2008, 09:01   #164
lastmylove
Злодей ..
 
Аватар для lastmylove
 
Пол:Мужской
Регистрация: 09.06.2006
Сообщений: 5,045
По умолчанию Ответ: Вредоносное ПО (Обзор)

Червь ManClick.A

Описание

источник: PandaSecurity.com
lastmylove вне форума
 
Ответить с цитированием Вверх
Старый 22.02.2008, 09:01   #165
lastmylove
Злодей ..
 
Аватар для lastmylove
 
Пол:Мужской
Регистрация: 09.06.2006
Сообщений: 5,045
По умолчанию Ответ: Вредоносное ПО (Обзор)

Червь Ressentment.A

Описание

источник: PandaSecurity.com
lastmylove вне форума
 
Ответить с цитированием Вверх
Ответ


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Rapidweaver 3.5: ОБЗОР и доп. темы DoOo Mac Os X 30 09.07.2016 16:08
Обзор мотоподвесов ANGEL OF FIRE Мотоподвесы и позиционеры 78 28.11.2013 21:11
ХР тюнинг (Обзор софта) UlyssesD Софт для изменения GUI/Design GUI 28 12.02.2011 13:12
Обзор шпионских программ sternev Хакинг в глобальной сети WWW 47 08.04.2008 11:27

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 01:38. Часовой пояс GMT +3.


Copyright ©2004 - 2024 2BakSa.WS

Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot
Время генерации страницы 0.33114 секунды с 11 запросами