Вредоносное ПО (Обзор)

[lastmylove]

Червь Nuwar.QI

Описание

Признаки

При запуске создает следующие файлы:

* DIPERTO????-????.SYS - руткит Rootkit/Nuwar.QJ (? - случайный символ)
* DIPERTO.INI - файл со списком процессов, IP-адресом и другими данными, собранными червем


Регистрируется как сервис с автоматическим режимом запуска при старте Windows.
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Найти и остановить сервис, созданный вредоносной программой.
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows, приуроченный ко Дню Святого Валентина (14 февраля). Распространяется по электронной почте по адресам из "Адресной книги" Windows. Письмо с темой "I Love You", "Me & You", "My Love For You", "Happy Valentine's Day" или "Valentine's Day" содержит ссылку на сайт, где содержится изображение на тему праздника. По щелчку на изображение загружается файл VALENTINE.EXE, являющийся копией червя.

Для сокрытия себя в системе использует руткит Rootkit/Nuwar.QJ.

источник: PandaSecurity.com

[lastmylove]

Червь W32.Spybot.AVEN

Описание

Признаки

При запуске создает свою копию в системной директории Windows (далее %System) под названием winbot.exe.

Обеспечивает себе автозагрузку при каждом запуске системы. Для этого вносит в реестр следующие записи:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"YahooServices" = "57 00 49 00 4E 00 42 00 4F 00 54 00 2E 00 45 00 58 00 45 00 00 00 63 00 30 00 6B 00 65 00 68 00 65 00 61 00 64 00 00 00 23 00 23 00 63 00 30 00 6B 00 65 00 00 00 34 00 32 00 30 00 00 00 00 00 02 00 00 00 00 00 00 00 59 00 61 00 68 00 6F 00 6F 00 53 00 65 00 72 00 76 00 69 00 63 00 65 00 73 00 00 00 00 00 00 00 09 00 00 00 00 00 00 00 59 00 61 00 68 00 6F 00 6F 00 53 00 76 00 63 00 73 00 74 00 72 00 74 00 65 00 72 00 00 00 74 00 47 00 62 00 6F 00 74 00 20 00 6E 00 74 00 20 00 79 00 61 00 68 00 6F 00 6F 00 00 00 70 00 61 00 79 00 2E 00 64 00 61 00 74 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 D0 00 07 00 00 00 00 00 6E 00 69 00 67 00 67 00 61 00 61 00 00 00 00 00 F6 00 DC 02 45 00 00 00 E6 00 DC 02 45 00 00 00 00 00 00 00 00 00 00 00 0B 00 1A 00 00 00"

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce\"YahooServices" = "57 00 49 00 4E 00 42 00 4F 00 54 00 2E 00 45 00 58 00 45 00 00 00 63 00 30 00 6B 00 65 00 68 00 65 00 61 00 64 00 00 00 23 00 23 00 63 00 30 00 6B 00 65 00 00 00 34 00 32 00 30 00 00 00 00 00 02 00 00 00 00 00 00 00 59 00 61 00 68 00 6F 00 6F 00 53 00 65 00 72 00 76 00 69 00 63 00 65 00 73 00 00 00 00 00 00 00 09 00 00 00 00 00 00 00 59 00 61 00 68 00 6F 00 6F 00 53 00 76 00 63 00 73 00 74 00 72 00 74 00 65 00 72 00 00 00 74 00 47 00 62 00 6F 00 74 00 20 00 6E 00 74 00 20 00 79 00 61 00 68 00 6F 00 6F 00 00 00 70 00 61 00 79 00 2E 00 64 00 61 00 74 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 D0 00 07 00 00 00 00 00 6E 00 69 00 67 00 67 00 61 00 61 00 00 00 00 00 F6 00 DC 02 45 00 00 00 E6 00 DC 02 45 00 00 00 00 00 00 00 00 00 00 00 0B 00 1A 00 00 00"

Пытается подключиться к IRC-серверам irc.w33d561.com и server27.bounceme.net.

Пытается отключить процессы, принадлежащие антивирусам Norton, Microsoft и Kaspersky.

Может похищать с захваченного компьютера данные об учетной записи, пароли, серийный номер AIM (AOL Instant Messenger), ключ Windows, реквизиты доступа к AOL, ключи к HalfLife и Counterstrike.

Данная информация может быть получена атакующим при помощи IRC-команд.
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Распространяется копированием себя на внешние сетевые ресурсы, незащищенные паролем на запись, или защищенные слабым паролем. Крадет конфиденциальную информацию с захваченного компьютера, открывает в системе "черный ход".

источник: Symantec.com

[lastmylove]

Червь W32.Gampxia

Описание

Признаки

При запуске создает следующие файлы:

* C:\WINDOWS\Temp\svchost.exe
* C:\Documents and Settings\All Users\[Kaishi Caidan]\[Chengxu]\[Qidong]\svchost.exe


Вышеуказанные файлы создаются только на версиях Windows, локализованных под упрощенную китайскую кодировку (Simplified Chinese).

Для всех версий Windows создает следующие файлы:

* C:\WINDOWS\cs.txt (чистый файл)
* C:\WINDOWS\Temp\Url.txt (файл конфигурации, содержимое которого получает потом из интернета)
* C:\WINDOWS\Temp\winpcap.exe (программа WinPcap)
* C:\WINDOWS\Temp\arp.exe (копия Hacktool)


(Замечание: неизвестно, является ли arp.exe хакерским инструментом (Hacktool), либо это стандартная утилита Windows для работы с адресными таблицами)

Копирует себя на все диски в корень под именем svchost.exe; там же создает файл autorun.inf, содержащий команду "open=svchost.exe". Таким образом червь запускается при подключении диска к системе.

Заменяет своей копией исполняемый файл Диспетчера задач (taskmgr.exe в системной директории Windows).

Удаляет в реестре подключ:

* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network


Устанавливает системное время на 1 декабря 1989 года, что позволяет запретить сканирование системы некоторыми антивирусами от Kaspersky.

Загружает Infostealer.Gampass, троян, крадущий реквизиты доступа к игровым серверам, с URL [http://]www.balbv.cn/xz/12387617/log[???].

Копия Hacktool загружается с URL [http://]www.balbv.cn/xz/12387617/arp.exe.

WinPCap загружается с URL [http://]www.balbv.cn/xz/12387617/winpcap.exe

Пытается распространяться через сетевой ресурс \C$\, копируя туда файлы Setup.exe и или AutoExec.bat.

Отправляет атакующему оповещение о захвате компьютера, включая информацию об антивирусных приложениях, работающих в системе, по следующему URL: [http://]www.sitama.cn/lin[???]

Удаляет все файлы с расширением .gho на дисках D:, E: и F:.

Внедряет код в файлы с расширениями .jsp, .html, .htm, .aspx, .asp и .php на дисках D:, E: и F:. Данные "зараженные" файлы определяются антивирусами Symantec как W32.Gampxia!html.

Закрывает окна, относящиеся к антивирусным приложениям, по их именам:

* NOD32
* Rising (на китайском)
* Jiangmin (на китайском)
* Kaspersky (на китайском)
* Kingsoft (на китайском)


Завершает процессы 360tray.exe и 360safe.exe.
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Распространяется копированием на все диски, включая съемные и сетевые. Загружает на компьютер копии Infostealer.Gampass, Hacktool и библиотеку перехвата трафика WinPCap.

Внедряет в HTML-файлы код обращения к сайту атакующего.

Устанавливает системное время в 1 декабря 1989 г.

источник: Symantec.com

[lastmylove]

Червь W32.Imaut.CO

Описание

Признаки

При запуске создает следующие файлы:

* %Windir%\True_Love.exe
* %Windir%\MsRun32.exe
* %System%\True_Love.exe
* %System%\MsRun32.exe
* %System%\autorun.ini
* %System%\yahoomsgs.ini


(%Windir% - директория, в которую установлена Windows, %System% - системная директория Windows.)

Копирует себя в корень всех съемных и сетевых дисков под именами True_love.exe и MsRun32.exe. Там же создает файл автозапуска autorun.inf, обеспечивающий запуск червя при подключении диска к системе.

Также копирует себя на все съемные диски под именами директорий, существующих в корне диска, с расширением .exe. Пользователь может перепутать их в "Проводнике" и запустить копию червя вместо открытия директории.

Обеспечивает себе автозагрузку при каждом запуске системы. Для этого создает и модифицирует в реестре следующие записи соответственно:

* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"MSN Messengger" = "%System%\MsRun32.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe MsRun32.exe"


Через реестр отключает "Редактор реестра" и "Диспетчер задач":

* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"DisableTaskMgr" = "1"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"DisableRegistryTools" = "1"


Модифицирует также следующие записи в реестре:

* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL \"CheckedValue" = "0 "
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\"NofolderOptions" = "1"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\WorkgroupCrawler\Shares\"shared " = "%DriveLetter%\True_Love.exe"


Завершает процессы со следующими именами:

* cmd.exe
* Registry
* System Configuration
* Windows Task


Каждый час пытается обновлять себя.

Каждые полчаса пытается распространяться через Yahoo! Messenger, отправляя ссылку на свою копию по списку контактов пользователя, находящихся в режиме онлайн.

Ссылка [URL] отправляется с одним из следующих сообщений:

* Ha ha ha click on link to laugh ... [URL]
* what a joke ...... [URL]
* nice one see this .... [URL]
* what a joke .....click to see [URL]
* what a joke ...... [URL]
* nice to listen .......... [URL]
* what is this ? ......see [URL]
* i am busy you click on a link and see ... [URL]
* what is this ? ...... see [URL]


[URL] - ссылка [http://]tinyurl.com/2n[???]

Одно из сообщений, содержащих ссылку, выставляет в статус доступности текущего пользователя.

URL перенаправляет пользователя на вредоносный сайт, содержащий архив Santa-Banta-Joke-Flash-2008.zip, содержащий копию червя под именем "Read Joke.doc.exe".
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Распространяется копированием себя на съемные диски и рассылкой URL своей копии через Yahoo! Messenger.

источник: Symantec.com

[lastmylove]

Trojan.Bankpatch.B

Описание

Признаки

При запуске создает файл-программу %Temp%\me.log. При запуске эта программа получает привилегии процесса WINLOGON.EXE.

Заражает следующие файлы:

* %System%\ws2_32.dll
* %System%\wininet.dll
* %System%\dllcache\ws2_32.dll
* %System%\dllcache\wininet.dll

Файлы увеличиваются в размере на 4 КБ за счет shell-кода, добавленного в конец.

В процессе заражения создаются следующие файлы:

* %System%\oldwn.tmp (копия wininet.dll)
* %System%\oldws.tmp (копия ws2_32.dll)
* %System%\newwn.tmp (зараженная копия wininet.dll)
* %System%\newws.tmp (зараженная копия ws2_32.dll)
* %System%\winrc.tmp (копия wininet.dll)
* %System%\wsrec.tmp (копия ws2_32.dll)

В зараженной копии ws2_32.dll установлен патч для API-функции connect(), запрещающий подключаться к IP-адресу 216.143.70.75.

В зараженной копии wininet.dll установлен патч на API-функцию InternetConnectA(), запрещающий соединение со следующими доменными именами:

* avp.com
* kaspersky.com
* eset.com
* nod32.com
* eset.casablanca.cz
* casablanca.cz
* symantec.com
* norton.com
* mcafee.com
* metalhead2005.info
* my-etrust.com
* nai.com
* pla-update.nai.com
* networkassociates.com
* secure.nai.com
* sophos.com
* trendmicro.com
* viruslist.com
* www.ca.com
* microsoft.com
* my-etrust.com
* networkassociates.com
* sophos.com
* trendmicro.com
* viruslist.com
* d66.myleftnut.info
* f-secure.com
* liveupdate.symantecliveupdate.com

Через 24 часа после внедрения перезагружает компьютер.
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Троян для платформы Windows. Отключает доступ к сайтам обновлений антивирусных программ, модифицирует системные файлы, через 24 часа после внедрения в систему перезагружает компьютер.

источник: Symantec.com

[lastmylove]

Yahmail.A

Описание

Признаки

Активен в памяти, ждет запуска Yahoo Messenger, перехватывает реквизиты доступа, отправляет их на сайт www.ilam-m[???]d-makers.com.

Создает свои копии под одним из следующих имен:

* SERVICES.EXE
* LSASS.EXE
* SMASS.EXE
* CSRSS.EXE
* WINLOGON.EXE

После создания копии создает директорию с тем же именем, которое было у оригинального зараженного файла, в директории, из которой был запущен.

Создает в реестре следующую запись:

* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Winlogon \ Shell = %TempRoot%\[file_name].exe

(Примечание: %TempRoot% - временная директория, которую создает троян, а [file_name].exe - имя файла, заразившего компьютер. Таким образом троян обеспечивает себе автозапуск при старте Windows.

Модифицирует записи реестра, отключая отображение системных файлов и расширений файлов в "Проводнике":

* HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Explorer\Advanced \ ShowSuperHidden = 0
* HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Explorer\Advanced \ HideFileExt = 1

Псевдоним: Infostealer.Yahmail.

Написан на языке Visual C ++ 6.
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Троян для платформы Windows. Крадет реквизиты доступа к Yahoo Messenger и отправляет их на сайт атакующего.

источник: PandaSecurity.com

[lastmylove]

Banker.KDW

Описание

Признаки

При запуске создает следующие файлы в системной директории Windows:

* CODECS.MOD
* NPPAGENT.MOD
* REGDAEMON.MOD.TXT

В директории Progam Files создает свою копию под случайным именем, с расширением EXE.

Обеспечивает себе автозагрузку, записывая ссылку на вышеупомянутую копию в соответствующий раздел реестра:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run

Регистрирует и запускает сервис HNPWXNMG. В реестре сервис записан в созданном трояном разделе:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\hnpwxnmg

Содержит другие вредоносные модули:

* Rootkit/Booto.C - руткит
* Hacktool/MailPassView.H - утилита отправки почты через пользовательскую учетную запись

Исполняемый код упакован PE_Patch.DotFix, PE_Patch.PECompact, PecBundle и PECompact.
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Найти и остановить сервис, созданный трояном.
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Троян для платформы Windows. Предназначен для кражи реквизитов одного из бразильских банков. При запросе пользователем страницы авторизации сайта банка, троян отображает подложную страницу с дополнительными вопросами о конфиденциальной информации. Данные, собранные со страницы, отправляются по электронной почте атакующему. Троян также отправляет атакующему данные о компьютере и дате захвата системы.

Внешние проявления: при запуске проигрывает песню "Like Humans Do".

Поступает на компьютер в виде файла с иконкой Windows Media Player, обычно под именем TIMVIDEOMENSAGEM.scr.

источник: PandaSecurity.com

[lastmylove]

Infostealer.Onlinegame

Описание

Признаки

Троян может попасть на компьютер с вредоносных веб-сайтов, под именем 2.bat.

При запуске создает в директории Windows (%Windir%) следующие файлы:

* %Windir%\Help\F3C74E3FA248.dll
* %Windir%\Help\F3C74E3FA248.exe


Через реестр устанавливает перехватчик для "Проводника" (Explorer.exe):

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks\"{1DBD6574-D6D0-4782-94C3-69619E719765}" = ""
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD657 4-D6D0-4782-94C3-69619E719765}


Собирает имена и пароли доступа к следующим онлайн-играм (и Yahoo Messenger):

* MapleStory
* World of Warcraft
* MSN Games
* Yahoo Messenger


Отправляет данные атакующему по электронной почте, используя собственную процедуру работы с SMTP-сервером. Может также отправлять данные через HTTP по следующим URL:

* [http://]www.b8591.com/tw888/upfil[...]
* [http://]www.b8591.com/tw888/sendma[...]
* [http://]www.b8591.com/tw888/upfile[...]


Может попытаться загрузить дополнительные исполняемые файлы с URL:

* [http://]www.microsoftmg.com/gut/mgg[...]


ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Троян для платформы Windows. Собирает реквизиты доступа к онлайн-играм и отправляет их атакующему по электронной почте или на веб-сайты.

источник: Symantec.com

[lastmylove]

Downloader.Silentbank

Описание

Признаки

Троян может быть загружен с вредоносной веб-страницы, содержащей эксплоит, и запущен без ведома пользователя.

При старте копирует себя как:

* C:\Documents and Settings\Administrator\Local Settings\Temp\wscnfy32.exe


Создает также следующие файлы:

* %ProgramFiles%\Internet Explorer\setupapi.dll
* %Windir%\msacm32.drv
* %System%\wuasirvy.dll


Примечание: имена файлов могут генерироваться случайным образом.

Троян периодически пытается загружать файлы с сайта microcbs.com. Один из загружаемых файлов - файл со списком новых URL для загрузки файлов, а второй - копия трояна Trojan.Silentbanker.

На лету отключает предупреждения брандмауэров о несанкционированном доступе к сайтам, отслеживая окна со следующими текстовыми строками:

* Warning: Components Have Changed
* Hidden Process Requests Network Access
* Windows Security Alert
* Allow all activities for this application
* ZoneAlarm Security Alert
* Create rule for %s


ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур

Действие

Троян для платформы Windows. Пытается периодически загружать из интернета троян Trojan.Silentbanker. Ослабляет настройки безопасности системы.

источник: Symantec.com

[lastmylove]

Trojan.Clampi

Описание

Признаки

При запуске создает следующие файлы:

* %UserProifile%\Administrator\Local Settings\Temp\[ORIGINAL FILE NAME].exe
* %System%\regscan.exe

(%UserProfile% - директория профиля текущего пользователя, ORIGINAL_FILE_NAME - имя файла, первоначально содержавшего троян, %System% - системная директория Windows)

Создает следующие записи в реестре:

* HKEY_USERS\S-1-5-21-816139046-577266240-1678582812-500\Software\Microsoft\Internet Explorer\Settings\"GID" = "00 00 00 61"
* HKEY_USERS\S-1-5-21-816139046-577266240-1678582812-500\Software\Microsoft\Internet Explorer\Settings\"GatesList" ="63 72 69 74 69 63 61 6C 66 61 63 74 6F 72 2E 63 63 00 2F 63 67 69 2D 62 69 6E 2F 63 69 74 79 2E 63 67 69 00 61 6E 61 6D 61 6C 69 74 79 2E 69 6E 66 6F 00 2F 63 67 69 2D 62 69 6E 2F 62 61 6E 67 2E 63 67 69 00 77 69 72 65 64 78 2E 69 6E 00 2F 63 67 69 2D 62 69 6E 2F 64 62 2E 63 67 69 00"
* HKEY_USERS\S-1-5-21-816139046-577266240-1678582812-500\Software\Microsoft\Internet Explorer\Settings\"KeyM" = "94 6B EE BC FF A5 BB 8B 5E 68 2A A5 8F BF 24 F5 7A 63 B7 9C BB DB 14 D5 1F AE B0 57 34 02 59 6F C6 38 9C 7E BD 8F 82 02 9F 36 AB 3F 0C 6C B9 4C C3 98 7E E6 77 0A CC 53 20 6F 6B 5B EC 83 A8 9E 34 C1 9E 9C 73 93 05 01 F3 3D D2 DA 79 ED 63 00 04 25 CB 82 FC 87 3D 89 E1 86 79 79 8C 67 A8 43 5C BC 65 26 66 5E B1 8A C5 51 95 E0 24 B8 7F F5 1A 1C 20 83 DD B7 44 E6 E7 66 B3 5D 88 A7 85 C8 2B A4 58 4E 18 85 A2 9D D3 16 D5 89 E6 51 4B 70 90 C9 F3 82 69 13 F1 09 ED 7C 30 86 2A 16 4A 4C A4 06 FA F9 78 C4 7D 72 93 FC 64 D7 48 C5 FB 83 A2 44 0A 98 77 BE CD 4B FE A8 69 A2 16 F2 73 C5 F1 44 FF 11 38 3E AF 5F 3F 87 05 61 61 FC FF 22 BE 00 D5 46 67 A0 BA CE 65 A5 C7 32 03 93 11 96 62 7E EB 0B 5D 9D 9A 92 1B 41 10 8C 2C 9B 09 A5 11 84 EB 91 CA 34 18 0E 92 2D 85 C7 6B 02 B0 EF"
* HKEY_USERS\S-1-5-21-816139046-577266240-1678582812-500\Software\Microsoft\Internet Explorer\Settings\"KeyE" = "00 01 00 01"

Через реестр обеспечивает себе автозагрузку при каждом запуске Windows:
HKEY_USERS\S-1-5-21-816139046-577266240-1678582812-500\Software\Microsoft\Windows\CurrentVersion\Run\ "Regscan" = "C:\WINDOWS\system32\regscan.exe"

Пытается загрузить дополнительные модули со следующих http-серверов:

* [http://]anamality.info
* [http://]criticalfactor.cc
* [http://]wiredx.in

ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Троян для платформы Windows. Подключается к удаленному серверу и пытается загрузить дополнительные вредоносные модули.

источник: Symantec.com

[lastmylove]

Trojan.Waytostr

Описание

Признаки

Троян может поступить на компьютер во встроенном виде в файл формата CHM. При открытии CHM-файла на диск записывается и запускается исполняемый файл %Windir%\Downloaded program files\exe.exe.

Этот файл создает DLL %UserProfile%\Local Settings\Temporary Internet Files\mswsock.dll. DLL устанавливается как Layered Service Provider (LSP) - слой-перехватчик сетевого трафика. После установки DLL как LSP, файл EXE удаляется.

Троян создает следующие подключи реестра (и делает в них записи):

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{12111111-1111-1111-1111-11111[7_СЛУЧАЙНЫХ_ЦИФР]}
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WinSock2.3
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WinSock2\Winsock_Spi


Информация о захваченном компьютере отправляется атакующему через http-сервер http:\\www.way2star.com.

Перезаписывает собой все другие LSP указателями на свою DLL:

* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WinSock2\Parameters\Protocol_Catalog9\Catalog_E ntries\[12_ДЕСЯТИЧНЫХ_ЦИФР]\"PackedCatalogItem" = "[ПУТЬ_К_DLL_ТРОЯНА]"


Пути к старым LSP сохраняются в ветви реестра:

* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\WinSock2\Winsock_Spi\"[4_ДЕСЯТИЧНЫХ_ЦИФРЫ]" = "[ПУТЬ_К_ОРИГИНАЛЬНОЙ_СИСТЕМНОЙ_DLL]"


Удаление вредоносной DLL без замены значений в реестре может нарушить работу сетевых функций.
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Переустановить протокол TCP/IP
* Удалить файлы, принадлежащие вредоносной программе
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Троян для платформы Windows. Поступает на компьютер в виде CHM-файла. Отправляет конфиденциальную и системную информацию через веб-сайт. Устанавливает перехватчик TCP/IP трафика.

источник: Symantec.com

[lastmylove]

Asprox.A

Описание

Признаки

Троян может быть загружен на компьютер другими вредоносными программами.

При запуске создает следующие файлы:

* ASPIMGR.EXE - в системной директории Windows
* DB32.TXT, G32.TXT, GS32.TXT, S32.TXT и WS386.INI - в директории Windows
* _CHECK32.BAT - во временной директории Windows

Работает как сервис ASPIMGR. Регистрирует сервис в реестре, создавая подключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\aspimgr.

Доп. информация: троян написан на языке Visual C++ 5.
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Найти и остановить сервис, созданный вредоносной программой.
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Троян для платформы Windows NT. Представляет собой прокси-сервер, предоставляющий транзитное соединение с интернетом для атакующего.

Для проверки наличия соединения с интернетом, соединяется с некоторыми веб-сайтами. Собирает данные о компьютере, включая IP-адрес, и отправляет атакующему через веб-сайт.

источник: PandaSecurity.com

[lastmylove]

Romeo.C

Описание

Признаки

При старте создает следующие файлы:

* SAVE.EXE и WIN2X.EXE - копии трояна - в системной директории Windows
* DLL.SYS - файл для сбора информации о компьютере - там же

Модифицирует C:\BOOT.INI, дописывая туда строку варианта загрузки:
multi(0)disk(0)rdisk(0)partition(1)\Romeo = "Su PC esta infestada por un virus de ultima generacion"

Модифицирует настройки системы через реестр.

Обеспечивает себе автозагрузку:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run Win2x = %sysdir%\Win2x.exe
Отключает "Редактор реестра"
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System DisableRegistryTools = 01, 00, 00, 00
Отключает "Диспетчер задач"
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System DisableTaskMgr = 01, 00, 00, 00
Отключает командную консоль (cmd.exe)
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System DisableCMD = 01, 00, 00, 00
Отключает "Восстановление системы"
HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows NT\ SystemRestore Disable SR = 1
Отключает опцию "Выключить компьютер", а также возможность сделать это через командную консоль
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer NoClose = 1
Отключает опцию "Завершить сеанс"
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer StartMenuLogOff = 1
Прячет пункт меню "Поиск" в меню "Пуск"
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer NoFind = 1
Отключает пункт меню "Запуск" в меню "Пуск"
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer NoRun = 1
Отключает пункт меню "Свойства папки" в "Проводнике"
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer NoFolderOptions = 1
Убирает с экрана часы
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\Explorer HideClock = 1
Отключает возможность пользователя запускать приложения, на которые наложены ограничения к запуску
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\Explorer RestrictRun = 1
Отключает отображение скрытых файлов и директорий в "Проводнике"
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced Hidden = 00, 00, 00, 00
Отключает отображение расширений файлов в "Проводнике"
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced HideFileExt = 01, 00, 00, 00

Создает сервис Win2x:
HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ Win2x
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ Win2x

Исполняемый файл, поступающий на компьютер, содержит иконку, аналогичную иконке папки.

Доп. информация: написан на языке Visual Basic.
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Найти и остановить сервис, созданный вредоносной программой.
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Троян для платформы Windows.

Модифицирует настройки "Проводника", меню "Пуск", отключает функцию "Поиск", отображение часов. Может завершать работу компьютера и завершать процессы без предупреждения.

Легко обнаруживается визуально - при каждом старте Windows выводит сообщение "Su PC esta infestada por un virus de ultima generacion" ("Ваш ПК заражен вирусом последнего поколения" - испанский).

источник: PandaSecurity.com

[lastmylove]

Nabload.CXU

Описание

Признаки

Загружает на компьютер трояны семейства Banker - Banker.KKQ и Banker.KKU, предназначенные для кражи банковских реквизитов.

Для загрузки троянов подключается к ряду веб-сайтов и загружает оттуда списки URL, по которым расположены трояны.

При запуске создает файл AUDIOHQ.EXE в системной директории Windows (далее %sysdir%).

Обеспечивает себе автозагрузку, делая следующую запись в реестре:

* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run \ AudioHQ = %sysdir%\audiohq.exe


Написан на языке Delphi.

Псевдоним: Trojan-Downloader.Win32.Delf.eao.
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Троян для платформы Windows. Предназначен для загрузки из интернета троянов семейства Banker, созданных для хищения банковских реквизитов.

Поступает на компьютер по электронной почте. Письмо легко распознать: оно содержит тему "A Pessoa com o Major Rabo do Mundo." Текст письма написан на португальском и содержит ссылку на видеоролик на YouTube.

источник: PandaSecurity.com

[lastmylove]

Phisher.BH

Описание

Признаки

Собирает с компьютера адреса электронной почты, сохраняет их в текстовый файл C:\WINDOWSUPDATE_INST.LOG. Данный файл затем отправляется атакующему на FTP-сервер.

Фишерское сообщение содержит ссылку на веб-сайт, идентичный по дизайну сайтам банков или платежной системы PayPal, а также копию трояна.

Написан на языке Delphi v5.
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Троян для платформы Windows. Собирает и отсылает атакующему на FTP-сервер все адреса электронной почты с захваченного компьютера. Рассылает по собранным адресам фишерские сообщения, направленные на пользователей PayPal, а также некоторых бразильских и итальянских банков. Сообщение также содержит копию трояна.

источник: PandaSecurity.com