Вредоносное ПО (Обзор)

[lastmylove]

Explorea.A

Описание

Признаки

При запуске, после выполнения всех действий, перезагружает компьютер командой SHUTDOWN -s -t 00. Собирает информацию о запущенных программах, включая дату и время запуска.

Запускается вместе с исполняемыми файлами (BAT, COM, EXE, PIF, LNK).

Создает в директории Windows (далее %windir%) свою копию под именем INTERNT.EXE, а также файл EXELOG.TXT, в котором хранится собранная информация о программах.

Обеспечивает себе автозагрузку при старте Windows (через реестр):

* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run \ Registr = %windir%\Internt.exe

Отключает "Редактор реестра", пункт меню "Свойства папки" в "Проводнике", пункт "Запуск" в меню "Пуск":

* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System \ DisableRegistryTools = 01, 00, 00, 00
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer \ NoFolderOptions = 1
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ Advanced \ Start_ShowRun = 0
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ Advanced \ StartMenuRun = 0

Также создает следующие записи в реестре:

* HKEY_CURRENT_USER\ Software\ VB and VBA Program Settings\ yeanx\ yeanx \ yeanx = 2
* HKEY_CURRENT_USER\ Software\ VB and VBA Program Settings\ yregans\ yregans \ yregans = jregans

Обеспечивает себе запуск вместе с файлами с расширениями BAT, COM, EXE, PIF и LNK. Для этого модифицирует следующие записи реестра (приведены измененные значения):

* HKEY_CLASSES_ROOT\ batfile\ shell\ open\ command \ (Default) = %windir%\Internt.exe" "% 1"%*
* HKEY_CLASSES_ROOT\ comfile\ shell\ open\ command \ (Default) = %windir%\Internt.exe" "%1"%*
* HKEY_CLASSES_ROOT\ exefile\ shell\ open\ command \ (Default) = %windir%\Internt.exe" "%1"%*
* HKEY_CLASSES_ROOT\ piffile\ shell\ open\ command \ (Default) = %windir%\Internt.exe" "%1"%*
* HKEY_CLASSES_ROOT\ VBSFile\ Shell\ Open\ Command \ (Default) = %windir%\Internt.exe" "%1"%*

Модифицирует в реестре записи, относящиеся к правилам отображения скрытых файлов и папок (отключает отображение), и к отображению расширений файлов (отключает) - в "Проводнике":

* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced \ Hidden = 00, 00, 00, 00
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced \ HideFileExt = 01, 00, 00, 00

Псевдонимы: Trojan.Win32.VB.boy,TR/VB.boy.3.

Язык программирования: Visual Basic v6.
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Троян для платформы Windows. Поступает на компьютер в виде исполняемого файла с иконкой, идентичной стандартной иконке папки.

После запуска и установки перезагружает компьютер, после чего запускается всегда вместе с исполняемыми файлами.

Визуально не проявляется.

источник: PandaSecurity.com

[lastmylove]

W32.Lurkasys.A

Описание

Признаки

При запуске создает следующие файлы:

* %System%\drivers\opengl.sys
* %System%\WUpdate$!.TMP

Обеспечивает себе автозагрузку, делая соответствующую запись в реестре:

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"BootClean" = "smartdrv.exe"

Файл %System%\drivers\opengl.sys может также препятствовать загрузке Windows в "Безопасном режиме".

Вирус создает сервис со следующими характеристиками:
Имя сервиса: Kernel OpenGL Service
Тип запуска: автоматический

Для создания сервиса создает следующие ключи в реестре:

* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\OpenGL\"DisplayName" = "Kernel OpenGL Service"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\OpenGL\"ErrorControl" = "0"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\OpenGL\"Group" = "Boot Bus Extender"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\OpenGL\"ImagePath" = "%System%\drivers\opengl.sys"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\OpenGL\"Start" = "0"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\OpenGL\"Tag" = "1"
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\OpenGL\"Type" = "1"

Заражает все исполняемые файлы на захваченном компьютере. Способ заражения неизвестен.

Может загружать из интернета и запускать дополнительные вредоносные программы, в частности, троян Backdoor.Bifrose.
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
* Найти и остановить сервис, созданный вирусом.

Действие

Вирус для платформы Windows, заражающий исполняемые файлы. Создает копию трояна Backdoor.Bifrose.

источник: Symantec.com

[lastmylove]

W32.Sality.AB

Описание

Признаки

При запуске создает следующие файлы:

* %Temp%\[СЛУЧАЙНОЕ_ИМЯ].tmp
* %System%\[СЛУЧАЙНОЕ_ИМЯ].dll
* %System%\[СЛУЧАЙНОЕ_ИМЯ].dl_
* %System%\drivers\[СЛУЧАЙНОЕ_ИМЯ].sys


Во избежание повторной загрузки в память, создает/проверяет наличие мутекса "_kkiuynbvnbrev406".

Модифицирует следующие записи реестра:

* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Setting\"GlobalUserOffline" = "0"
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\policies\system\"EnableLUA" = "0"


Удаляет следующие записи реестра:

* HKEY_CURRENT_USER\System\CurrentControlSet\Control \SafeBoot
* HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\SafeBoot
* HKEY_CURRENT_USER\\Software\Microsoft\Windows\Curr entVersion\Ext\Stats
* HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows\Cur rentVersion\Ext\Stats
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Ext\Stats
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Ext\Stats
* HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Explorer\Browser Helper Objects
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects


Создает сервис руткита (%System%\drivers\[СЛУЧАЙНОЕ_ИМЯ].sys) с именем и отображаемым именем "MCIDRV_2600_6_0" и типом запуска "Автоматический".

Останавливает следующие сервисы:

* ALG
* aswUpdSv
* avast! Antivirus
* avast! Mail Scanner
* avast! Web Scanner
* AVP
* BackWeb Plug-in - 4476822
* bdss
* BGLiveSvc
* BlackICE
* CAISafe
* ccEvtMgr
* ccProxy
* ccSetMgr
* F-Prot Antivirus Update Monitor
* fsbwsys
* FSDFWD
* F-Secure Gatekeeper Handler Starter
* fshttps
* FSMA
* InoRPC
* InoRT
* InoTask
* ISSVC
* KPF4
* LavasoftFirewall
* LIVESRV
* McAfeeFramework
* McShield
* McTaskManager
* navapsvc
* NOD32krn
* NPFMntor
* NSCService
* Outpost Firewall main module
* OutpostFirewall
* PAVFIRES
* PAVFNSVR
* PavProt
* PavPrSrv
* PAVSRV
* PcCtlCom
* PersonalFirewal
* PREVSRV
* ProtoPort Firewall service
* PSIMSVC
* RapApp
* SmcService
* SNDSrvc
* SPBBCSvc
* Symantec Core LC
* Tmntsrv
* TmPfw
* tmproxy
* UmxAgent
* UmxCfg
* UmxLU
* UmxPol
* vsmon
* VSSERV
* WebrootDesktopFirewallDataService
* WebrootFirewall
* XCOMM


Заражает все исполняемые файлы в директориях, указанных в следующих разделах реестра:

* HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell NoRoam\MUICache
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run


Также заражает все файлы .EXE и .SCR на диске C: и сетевых ресурсах, доступных на запись, кроме файлов в директориях SYSTEM и AHEAD.

Зараженные файлы увеличиваются в размере на 57.344 байт.

Удаляет все файлы, чьи имена содержат следующие подстроки:

* .AVC
* .KEY
* .VDB
* _AVPM.
* A2GUARD.
* AAVSHIELD.
* ADVCHK.
* AHNSD.
* AIRDEFENSE
* ALERTSVC
* ALMON.
* ALOGSERV
* ALSVC.
* AMON.
* ANTI-TROJAN.
* ANTIVIR
* ANTS.
* APVXDWIN.
* ARMOR2NET.
* ASHAVAST.
* ASHDISP.
* ASHENHCD.
* ASHMAISV.
* ASHPOPWZ.
* ASHSERV.
* ASHSIMPL.
* ASHSKPCK.
* ASHWEBSV.
* ASWUPDSV.
* ATCON.
* ATUPDATER.
* ATWATCH.
* AUPDATE.
* AUTODOWN.
* AUTOTRACE.
* AUTOUPDATE.
* AVAST
* AVCIMAN.
* AVCONSOL.
* AVENGINE.
* AVGAMSVR.
* AVGCC.
* AVGCC32.
* AVGCTRL.
* AVGEMC.
* AVGFWSRV.
* AVGNT.
* AVGNTDD
* AVGNTMGR
* AVGSERV.
* AVGUARD.
* AVGUPSVC.
* AVINITNT.
* AVKSERV.
* AVKSERVICE.
* AVKWCTL.
* AVP.
* AVP32.
* AVPCC.
* AVPM.
* AVPUPD.
* AVSCHED32.
* AVSYNMGR.
* AVWUPD32.
* AVWUPSRV.
* AVXMONITOR9X.
* AVXMONITORNT.
* AVXQUAR.
* AVZ.
* BACKWEB-4476822.
* BDMCON.
* BDNEWS.
* BDOESRV.
* BDSS.
* BDSUBMIT.
* BDSWITCH.
* BLACKD.
* BLACKICE.
* CAFIX.
* CCAPP.
* CCEVTMGR.
* CCPROXY.
* CCSETMGR.
* CFIAUDIT.
* CLAMTRAY.
* CLAMWIN.
* CLAW95.
* CLAW95CF.
* CLEANER.
* CLEANER3.
* CLISVC.
* CMGRDIAN.
* CUREIT
* DEFWATCH.
* DOORS.
* DRVIRUS.
* drw
* DRWADINS.
* DRWEB32W.
* DRWEBSCD.
* DRWEBUPW.
* ESCANH95.
* ESCANHNT.
* EWIDOCTRL.
* EZANTIVIRUSREGISTRATIONCHECK.
* F-AGNT95.
* F-PROT95.
* F-SCHED.
* F-STOPW.
* FAMEH32.
* FAST.
* FCH32.
* FILEMON
* FIRESVC.
* FIRETRAY.
* FIREWALL.
* FPAVUPDM.
* FRESHCLAM.
* FRW.
* FSAV32.
* FSAVGUI.
* FSBWSYS.
* FSDFWD.
* FSGK32.
* FSGK32ST.
* FSGUIEXE.
* FSM32.
* FSMA32.
* FSMB32.
* FSPEX.
* FSSM32.
* GCASDTSERV.
* GCASSERV.
* GIANTANTISPYWAREMAIN.
* GIANTANTISPYWAREUPDATER.
* GUARDGUI.
* GUARDNT.
* HREGMON.
* HRRES.
* HSOCKPE.
* HUPDATE.
* IAMAPP.
* IAMSERV.
* ICLOAD95.
* ICLOADNT.
* ICMON.
* ICSSUPPNT.
* ICSUPP95.
* ICSUPPNT.
* IFACE.
* INETUPD.
* INOCIT.
* INORPC.
* INORT.
* INOTASK.
* INOUPTNG.
* IOMON98.
* ISAFE.
* ISATRAY.
* ISRV95.
* ISSVC.
* KAV.
* KAVMM.
* KAVPF.
* KAVPFW.
* KAVSTART.
* KAVSVC.
* KAVSVCUI.
* KMAILMON.
* KPFWSVC.
* KWATCH.
* LOCKDOWN2000.
* LOGWATNT.
* LUALL.
* LUCOMSERVER.
* LUUPDATE.
* MCAGENT.
* MCMNHDLR.
* MCREGWIZ.
* MCUPDATE.
* MCVSSHLD.
* MINILOG.
* MYAGTSVC.
* MYAGTTRY.
* NAVAPSVC.
* NAVAPW32.
* NAVLU32.
* NAVW32.
* NEOWATCHLOG.
* NEOWATCHTRAY.
* NISSERV
* NISUM.
* NMAIN.
* NOD32
* NOD32.
* NORMIST.
* NOTSTART.
* NPAVTRAY.
* NPFMNTOR.
* NPFMSG.
* NPROTECT.
* NSCHED32.
* NSMDTR.
* NSSSERV.
* NSSTRAY.
* NTRTSCAN.
* NTXCONFIG.
* NUPGRADE.
* NVC95.
* NVCOD.
* NVCTE.
* NVCUT.
* NWSERVICE.
* OFCPFWSVC.
* OUTPOST.
* PAV.
* PAVFIRES.
* PAVFNSVR.
* PAVKRE.
* PAVPROT.
* PAVPROXY.
* PAVPRSRV.
* PAVSRV51.
* PAVSS.
* PCCGUIDE.
* PCCIOMON.
* PCCNTMON.
* PCCPFW.
* PCCTLCOM.
* PCTAV.
* PERSFW.
* PERTSK.
* PERVAC.
* PNMSRV.
* POP3TRAP.
* POPROXY.
* PREVSRV.
* PSIMSVC.
* QHM32.
* QHONLINE.
* QHONSVC.
* QHPF.
* QHWSCSVC.
* RAVMON.
* RAVTIMER.
* REALMON.
* REALMON95.
* RFWMAIN.
* RTVSCAN.
* RTVSCN95.
* RULAUNCH.
* SAVADMINSERVICE.
* SAVMAIN.
* SAVPROGRESS.
* SAVSCAN.
* SCAN32.
* SCANNINGPROCESS.
* SCHED.
* SDHELP.
* SHSTAT.
* SITECLI.
* SPBBCSVC.
* SPHINX.
* SPIDERML.
* SPIDERNT.
* SPIDERUI.
* SPYBOTSD.
* SPYXX.
* SS3EDIT.
* STOPSIGNAV.
* SWAGENT.
* SWDOCTOR.
* SWNETSUP.
* SYMLCSVC.
* SYMPROXYSVC.
* SYMSPORT.
* SYMWSC.
* SYNMGR.
* TAUMON.
* TBMON.
* TC.
* TCA.
* TCM.
* TDS-3.
* TEATIMER.
* TFAK.
* THAV.
* THSM.
* TMAS.
* TMLISTEN.
* TMNTSRV.
* TMPFW.
* TMPROXY.
* TNBUTIL.
* TRJSCAN.
* UP2DATE.
* VBA32ECM.
* VBA32IFS.
* VBA32LDR.
* VBA32PP3.
* VBSNTW.
* VCHK.
* VCRMON.
* VETTRAY.
* VIRUSKEEPER.
* VPTRAY.
* VRFWSVC.
* VRMONNT.
* VRMONSVC.
* VRRW32.
* VSECOMR.
* VSHWIN32.
* VSMON.
* VSSERV.
* VSSTAT.
* WATCHDOG.
* WEBPROXY.
* WEBSCANX.
* WEBTRAP.
* WGFE95.
* WINAW32.
* WINROUTE.
* WINSS.
* WINSSNOTIFY.
* WRADMIN.
* WRCTRL.
* XCOMMSVR.
* ZATUTOR.
* ZAUINST.
* ZLCLIENT.
* ZONEALARM.


Для загрузки дополнительных модулей подключается к ряду сайтов, содержащих URL модулей:

* [http://]makemegood24.com
* [http://]perfectchoice1.com
* [http://]cash-ddt.net
* [http://]ddr-cash.net
* [http://]trn-cash.net
* [http://]money-frn.net
* [http://]clr-cash.net
* [http://]xxxl-cash.net
* [http://]www.kjwre77638dfqwieuoi.info


Сервис, установленный вирусом, представляет собой фильтр сервиса IPFILTERDRIVER. Он уничтожает все сетевые пакеты, содержащие следующие подстроки:

* agnmitum.
* bitdefender.
* eset.com
* etrust.com
* ewido.
* f-secure.
* kaspersky
* mcafee.
* onlinescan.
* pandasoftware.
* sophos.
* spywareguide.
* spywareinfo.
* symantec.
* trendmicro.
* virusscan.
* virustotal.
* windowsecurity.


ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Найти и остановить сервис, созданный вредоносной программой.
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Вирус для платформы Windows. Заражает исполняемые файлы (EXE, SCR); загружает дополнительные вредоносные модули из интернета. Ослабляет настройки безопасности системы.

источник: Symantec.com

[lastmylove]

W32.Sovtank

Описание

Признаки

При запуске заменяет обои на изображение советского ордена. Изображение сохраняется как [%bgimagefolder%]\ussr_[6_случайных_букв].bmp.
%bgimagefolder% - директория для расположения обоев по умолчанию. Обычно это или директория, в которую установлена Windows, или "My Pictures".

Заражает исполняемые файлы формата PE, указанные для автозагрузки в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Вирус для платформы Windows. Заражает исполняемые файлы формата PE (EXE, SCR); ослабляет настройки безопасности системы. При запуске заменяет обои на изображение советского ордена.

Пытается закрыть все приложения, имеющие окна с названиями, содержащими подстроки "antivir" и "anti vir".

источник: Symantec.com

[lastmylove]

W32.Tufik.B

Описание

Признаки

При старте сохраняет свою копию как "%Windir%\alg.exe".

Через реестр обеспечивает себе автозагрузку при каждом запуске Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer\Run\"lsass" = "%Windir%\alg.exe".

Заражает исполняемые файлы (.EXE) на всех дисках, зараженные файлы определяются антивирусами Symantec как W32.Tufik.B!inf.

Пытается загрузить копию трояна-"черного хода" (Backdoor.Trojan) с сайта:
[http://]www.365xinyu.com/download/svcho[???].
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Вирус для платформы Windows. Заражает (с возможностью восстановления) исполняемые файлы .EXE (формат PE). Загружает из интернета дополнительные вредоносные модули.

источник: Symantec.com

[Deementor]

Grabber NEW
Предлогаемый для скачивания по этой ссылке http://www.filefactory.com/file/6672fd/
Склеенный и закриптованный троянчик.

[lastmylove]

Xorer.O

Описание

Производит следующие действия: проверяет наличие соединения с интернетом. В случае обнаружения, загружает с сайта http://js.k[???]02.com два файла - DATA.GIF (обновление червя) и ANTITOOL.EXE, записывающий в систему библиотеку перехвата трафика WinPCap и файл ALG.EXE, перехватывающий и модифицирующий трафик.

Для маскировки использует руткит для сокрытия своих файлов, скрывает отображение системных файлов.

Завершает процессы, в имени которых содержатся следующие текстовые строки:

* #32770
* 360anti
* 360safe
* AfxControlBar42s
* antivir
* bitdefender
* cabinetwclass
* dr.web
* escan
* ewido
* facelesswndproc
* firewall
* ieframe
* mcagent
* metapad
* monitor
* mozillauiwindowclass
* SREng
* tapplication
* thunderrt6formdc
* thunderrt6main
* ThunderRT6Timer


Распространяется, создавая в корне всех дисков файлы PAGEFILE.PIF, 037589.LOG и AUTORUN.INF (файл, обеспечивающий автозапуск PAGEFILE.PIF при подключении к системе).

Создает следующие файлы:

* LSASS.EXE - в поддиректории Com системной директории Windows
* ~????.EXE - в директории Автозапуска (? - случайные символы)


Также создает файлы:

* NETAPI000.SYS - в корне диска C: - руткит для сокрытия файлов, принадлежащих червю
* NETCFG.000, NETCFG.DLL и SMSS.EXE - в поддиректории Com в системной директории Windows
* DNSQ.DLL - в системной директории Windows


Модифицирует следующие записи в реестре:

* HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced\ Folder\ SuperHidden \ Type = radio ox b o x WinRAR\WinRAR.exe" "%1" R A R \ W i n R A R . e x e " "????. e x e "
* HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced \ ShowSuperHidden = 00, 00, 00, 00


Удаляет из реестра следующие записи для отключения возможности загрузки системы в "Безопасном режиме" (Safe Mode):

* HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Control\ SafeBoot\ Minimal\ {4D36E967-E325-11CE-BFC1-08002BE10318} \ (Default) = DiskDrive
* HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Control\ SafeBoot\ Network\ {4D36E967-E325-11CE-BFC1-08002BE10318} \ (Default) = DiskDrive
* HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Minimal\ {4D36E967-E325-11CE-BFC1-08002BE10318} \ (Default) = DiskDrive
* HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Network\ {4D36E967-E325-11CE-BFC1-08002BE10318} \ (Default) = DiskDrive


Также удаляет из реестра все записи, принадлежащии ветви автозапуска (HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run).
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Распространяется копированием себя на съемные и сетевые диски. Перехватывает интернет-трафик в локальной сети и модифицирует запрашиваемые веб-страницы, добавляя к ним всплывающее окно с текстом на китайском языке.

источник: PandaSecurity.com

[lastmylove]

W32.Scrapkut

Описание

Червь поступает жертве - пользователю Orkut) как комментарий-scrap (по терминологии Orkut).

Для отправки комментария всем пользователям в адресной книге жертвы использует сценарий GreaseMonkey. Комментарий содержит изображение, похожее на изображени с YouTube, перенаправляющее браузер на следующий URL: [http://]instantflashx.zip.net/watch[???]

По данному URL находится страница, которая сообщает о невозможности воспроизвести видео без Macromedia Flash Player, и предлагает загрузить плеер (на самом деле - копию червя) с URL [http://]installgetflash.blogcindario...os/flashx_play[???].

При запуске отображает окно с сообщением на португальском об успешной установке плагина.

Червь загружает вредоносные файлы со следующих URL:

* [http://]avdetectordok.ifastnet.com/vaiprim[???]
* [http://]pluginforweb22.ifastnet.com/auook[???]
* [http://]youprincipalpug.ifastnet.com/gamesys[???]


Файлы сохраняются в следующие места на диске:

* %Windir%\windosremote.exe
* %Windir%\logservicess.exe
* %Windir%\win32chekupdate.exe


Запускает командный файл, пытающийся завершить антивирусные процессы.

Затем запускает файл %Windir%\win32chekupdate.exe, загружающий файлы со следующих URL:

* [http://]plugddownload.ifastnet.com/PP.reg
* [http://]plugddownload.ifastnet.com/s...2/Partizan.exe
* [http://]plugddownload.ifastnet.com/drivers/Partizan.sys
* [http://]plugddownload.ifastnet.com/addreg.exe


Сохраняет их как:

* %Windir%\PP.reg
* %System%\Partizan.exe
* %System%\drivers\Partizan.sys
* %Windir%\addreg.exe


Обращается к веб-странице, подсчитывающей количество заражений:

* [http://]www.csiclasnwebgamer.com/contad[???]


Модифицирует следующую запись в реестре:

* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Session Manager\"BootExecute" = "[a.u.t.o.c.h.e.c.k. .a.u.t.o.c.h.k. .*...P.a.r.t.i.z.a.n]"


Создает в реестре запись:

* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Partizan\"Group" = "Boot Bus Extender"


Создает сервис со следующими характеристиками:

* Image Path: %System%\drivers\Partizan.sys
* Display Name: Partizan
* Startup Type: Automatic


Встраивает код в процесс Internet Explorer.

Распространяется, рассылая комментарии-scraps всем пользователям Orkut, перечисленным в адресной книге, когда пользователь-жертва подключается к этой социальной сети с захваченного компьютера.

Псевдонимы: W32/Scrapkut.worm (McAfee).
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Найти и остановить сервис, созданный вредоносной программой.
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Распространяется рассылкой себя пользователям социальной сети Orkut. Загружает дополнительные файлы из интернета, завершает процессы, принадлежащие антивирусным программам.

источник: Symantec.com

[lastmylove]

Spyware.AcePasswdSnif

Описание

При установке программа создает следующие файлы:

* C:\Documents and Settings\All Users\Desktop\Ace Password Sniffer.lnk
* C:\Documents and Settings\All Users\Start Menu\Programs\WinPcap\Uninstall WinPcap 4.1 beta2.lnk
* C:\Documents and Settings\All Users\Start Menu\Programs\Ace Password Sniffer\Ace Password Sniffer.lnk
* C:\Documents and Settings\All Users\Start Menu\Programs\Ace Password Sniffer\UNWISE.EXE.lnk
* %ProgramFiles%\Ace Password Sniffer\APS.exe
* %ProgramFiles%\Ace Password Sniffer\eula.txt
* %ProgramFiles%\Ace Password Sniffer\INSTALL.LOG
* %ProgramFiles%\Ace Password Sniffer\readme.txt
* %ProgramFiles%\Ace Password Sniffer\UNWISE.EXE
* %ProgramFiles%\Ace Password Sniffer\WinPcap.exe


(Примечание: %ProgramFiles% - директория "Program Files", обычно находится в корне диска, где установлена Windows)

В реестре создаются следующие записи:

* HKEY_CURRENT_USER\Software\EffeTech
* HKEY_CURRENT_USER\Software\EffeTech\Ace Password Sniffer\Reg\"SetupTime" = "00017D28"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\Ace Password Sniffer v1.4\"DisplayName" = "Ace Password Sniffer v1.4"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\Ace Password Sniffer v1.4\"UninstallString" = "C:\PROGRA~1\ACEPAS~1\UNWISE.EXE C:\PROGRA~1\ACEPAS~1\INSTALL.LOG"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\Ace Password Sniffer v1.4\"DisplayVersion" = "1.4"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\Ace Password Sniffer v1.4\"HelpLink" = "http://www.effetech.com/help/sniffer-faq.htm"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\Ace Password Sniffer v1.4\"Publisher" = "EffeTech"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\Ace Password Sniffer v1.4\"URLInfoAbout" = "http://www.effetech.com/"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\Ace Password Sniffer v1.4\"Contact" = "Harry"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\Ace Password Sniffer v1.4\"DisplayIcon" = "C:\PROGRA~1\ACEPAS~1\APS.exe,-0"


ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Шпионская программа для платформы Windows, предназначенная для перехвата паролей в локальной сети.

Название программы - Ace Password Sniffer, версия 1.4.0.1, разработчик - EffeTech.

источник: Symantec.com

[lastmylove]

Spyware.PCAgent

Описание

Признаки

При установке создает следующие файлы:

* %System%\diskmgr\Administrator20080319120950.dat
* %System%\[СЛУЧАЙНОЕ_ИМЯ].dll
* %System%\[СЛУЧАЙНОЕ_ИМЯ].exe
* %Windir%\[СЛУЧАЙНОЕ_ИМЯ].ini


В реестре создаются следующие ключи:

* HKEY_CLASSES_ROOT\.pca
* HKEY_CLASSES_ROOT\pcamon
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\diskmgr
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\[СЛУЧАЙНОЕ_ИМЯ]


Может прерывать нахождение компьютера в ждущем или спящем режимах.
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Шпионская программа для платформы Windows. Собирает данные о нажатых клавишах и открываемых файлах. Может отправлять данные атакующему по электронной почте.

Название программы: PC Agent, разработчик: Blue-series.de.

источник: Symantec.com

[lastmylove]

Spyware.OsMonitor

Описание

Признаки

Состоит из клиентской и серверной части.

Клиентская часть при установке создает следующие файлы:

* %ProgramFiles%\wrkwn80\hbyabeihua.lib
* %ProgramFiles%\wrkwn80\Msvbvm60.dll
* %ProgramFiles%\wrkwn80\OsMonitorLm.exe
* %ProgramFiles%\wrkwn80\sunntd
* %ProgramFiles%\wrkwn80\System.dll
* %ProgramFiles%\wrkwn80\windlwork.dll
* %ProgramFiles%\wrkwn80\workw3in.dll
* %ProgramFiles%\wrkwn80\wsetdata.dat
* %ProgramFiles%\wrkwn80\Zipdll.dll
* %ProgramFiles%\wrkwn80\Zipit.dll
* %UserProfile%\Local Settings\Temp\[СЛУЧАЙНОЕ_ИМЯ].tmp


В реестре создаются следующие подключи:

* HKEY_CURRENT_USER\Software\newskydev
* HKEY_CURRENT_USER\Software\newskydev\workwin2
* HKEY_CURRENT_USER\Software\newskydev\workwin2\Main
* HKEY_CURRENT_USER\Software\VB and VBA Program Settings
* HKEY_CURRENT_USER\Software\VB and VBA Program Settings\workwin
* HKEY_CURRENT_USER\Software\VB and VBA Program Settings\workwin\shell


Обеспечивает себе автозагрузку при каждом запуске Windows, делая записи в соответствующем разделе реестра:

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"MsWWinLm" = "43 00 3A 00 5C 00 50 00 72 00 6F 00 67 00 72 00 61 00 6D 00 20 00 46 00 69 00 6C 00 65 00 73 00 5C 00 77 00 72 00 6B 00 77 00 6E 00 38 00 30 00 5C 00 4F 00 73 00 4D 00 6F 00 6E 00 69 00 74 00 6F 00 72 00 4C 00 6D 00 2E 00 65 00 78 00 65 00 00 00 00 00 00 00 00 00 07 00 00 00 07 00 00 00 AC 00 01 00 0F 00 00 00 00 00 00 00 00 00 00 00 72 00 6F 00 67 00 72 00 61 00 6D 00 20 00 46 00 69 00 6C 00 65 00 73 00 5C 00 77 00 72 00 6B 00 77 00 6E 00 38 00 30 00 5C 00 4F 00 73 00 4D 00 6F 00 6E 00 69 00 74 00 6F 00"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"MsWWinLm" = "43 00 3A 00 5C 00 50 00 72 00 6F 00 67 00 72 00 61 00 6D 00 20 00 46 00 69 00 6C 00 65 00 73 00 5C 00 77 00 72 00 6B 00 77 00 6E 00 38 00 30 00 5C 00 4F 00 73 00 4D 00 6F 00 6E 00 69 00 74 00 6F 00 72 00 4C 00 6D 00 2E 00 65 00 78 00 65 00 00 00 00 00 00 00 00 00 07 00 00 00 07 00 00 00 AC 00 01 00 0F 00 00 00 00 00 00 00 00 00 00 00 72 00 6F 00 67 00 72 00 61 00 6D 00 20 00 46 00 69 00 6C 00 65 00 73 00 5C 00 77 00 72 00 6B 00 77 00 6E 00 38 00 30 00 5C 00 4F 00 73 00 4D 00 6F 00 6E 00 69 00"


Отключает "Диспетчер задач" через реестр:

* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\DisableTaskMgr
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\system\DisableTaskMgr


Клиентская часть может работать в скрытом от пользователя режиме.

Серверная часть при установке создает следующие файлы:

* %ProgramFiles%\OsMonitor Server\BackupFiles\
* %ProgramFiles%\OsMonitor Server\BackupFiles\[ДАТА]\
* %ProgramFiles%\OsMonitor Server\pic\
* %ProgramFiles%\OsMonitor Server\pic\[ДАТА]\


Также создаются следующие файлы:

* %UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\OsMonitor Server.lnk
* C:\Documents and Settings\All Users\Desktop\OsMonitor Server.lnk
* C:\Documents and Settings\All Users\Start Menu\Programs\OsMonitor Server\OsMonitor Monitoring Software on the Web.url
* C:\Documents and Settings\All Users\Start Menu\Programs\OsMonitor Server\OsMonitor Server.lnk
* %ProgramFiles%\OsMonitor Server\eaagle.dll
* %ProgramFiles%\OsMonitor Server\en.ini
* %ProgramFiles%\OsMonitor Server\GdiPlus.dll
* %ProgramFiles%\OsMonitor Server\OsMonitorServer.exe
* %ProgramFiles%\OsMonitor Server\time.ini
* %ProgramFiles%\OsMonitor Server\unins000.dat
* %ProgramFiles%\OsMonitor Server\unins000.exe
* %ProgramFiles%\OsMonitor Server\wsetdata.dat
* %ProgramFiles%\OsMonitor Server\wwinlog.dat


В реестре создаются следующие подключи:

* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8E2FCC5 5-D7C9-4766-1F80-F5E164610974}
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8E2FCC5 5-D7C9-4766-1F80-F5E164610974}\LocalServer32
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8E2FCC5 5-D7C9-4766-1F80-F5E164610974}\ProgID
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8E2FCC5 5-D7C9-4766-1F80-F5E164610974}\TypeLib
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8E2FCC5 5-D7C9-4766-1F80-F5E164610974}\VersionIndependentProgID
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4A7CE 1FD-3BEA-EC3B-3196-F7EB112EA791}
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4A7CE 1FD-3BEA-EC3B-3196-F7EB112EA791}\1.0
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4A7CE 1FD-3BEA-EC3B-3196-F7EB112EA791}\1.0\0
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4A7CE 1FD-3BEA-EC3B-3196-F7EB112EA791}\1.0\0\win32
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4A7CE 1FD-3BEA-EC3B-3196-F7EB112EA791}\1.0\FLAGS
* HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4A7CE 1FD-3BEA-EC3B-3196-F7EB112EA791}\1.0\HELPDIR
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\OsMonitor Server_is1
* HKEY_CURRENT_USER\Software\ASProtect
* HKEY_CURRENT_USER\Software\ASProtect\SpecData
* HKEY_CURRENT_USER\Software\VB and VBA Program Settings
* HKEY_CURRENT_USER\Software\VB and VBA Program Settings\DiskWin
* HKEY_CURRENT_USER\Software\VB and VBA Program Settings\DiskWin\server
* HKEY_CURRENT_USER\Software\VB and VBA Program Settings\msgetinfo37
* HKEY_CURRENT_USER\Software\VB and VBA Program Settings\msgetinfo37\Run816
* HKEY_CURRENT_USER\Software\VB and VBA Program Settings\MSInternetinfo1
* HKEY_CURRENT_USER\Software\VB and VBA Program Settings\MSInternetinfo1\run816
* HKEY_CURRENT_USER\Software\VB and VBA Program Settings\njwangya
* HKEY_CURRENT_USER\Software\VB and VBA Program Settings\njwangya\m


Также в реестре создается запись, обеспечивающая автозагрузку приложения при каждом запуске Windows:

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"workwinserver" = "43 00 3A 00 5C 00 50 00 72 00 6F 00 67 00 72 00 61 00 6D 00 20 00 46 00 69 00 6C 00 65 00 73 00 5C 00 4F 00 73 00 4D 00 6F 00 6E 00 69 00 74 00 6F 00 72 00 20 00 53 00 65 00 72 00 76 00 65 00 72 00 5C 00 4F 00 73 00 4D 00 6F 00 6E 00 69 00 74 00 6F 00 72 00 53 00 65 00 72 00 76 00 65 00 72 00 2E 00 65 00 78 00 65 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 A7 00 02 00 09 00 00 00 48 00 01 00 08 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00"


ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Приложение для платформы Windows, отслеживающее работу пользователя в интернете - трафик чатов и интернет-пейджеров, посещаемые веб-сайты; также отслеживает запускаемые приложения. Может предотвращать установку новых приложений и ограничивать доступ к интернету. Состоит из клиенского и серверного компонентов.

Название приложения: OsMonitor, версия: 1.0.0.1, разработчик: WangYa Software.

источник: Symantec.com

[lastmylove]

Spyware.PornCleanser

Признаки

Признаки

При запуске создает следующие файлы:

* %UserProfile%\Local Settings\Temp\[СЛУЧАЙНОЕ_ИМЯ].tmp
* C:\Documents and Settings\All Users\Desktop\PC 2008.lnk
* C:\Documents and Settings\All Users\Start Menu\Programs\PC\PC 2008 on the Web.url
* C:\Documents and Settings\All Users\Start Menu\Programs\PC\PC 2008.lnk
* C:\Documents and Settings\All Users\Start Menu\Programs\PC\Remove PC 2008.lnk
* %ProgramFiles%\PC\asycfilt.DLL
* %ProgramFiles%\PC\COMCAT.DLL
* %ProgramFiles%\PC\COMCTL32.OCX
* %ProgramFiles%\PC\COMDLG32.OCX
* %ProgramFiles%\PC\data\AllowedSites.txt
* %ProgramFiles%\PC\data\Applications.txt
* %ProgramFiles%\PC\data\BlockSites.txt
* %ProgramFiles%\PC\data\keywords.txt
* %ProgramFiles%\PC\endkeylog.exe
* %ProgramFiles%\PC\iea.exe
* %ProgramFiles%\PC\IEEvents.ctl
* %ProgramFiles%\PC\ListPrivileges.txt
* %ProgramFiles%\PC\logs\media\blockedmedia.txt
* %ProgramFiles%\PC\logs\savepictures\[СЛУЧАЙНОЕ_ИМЯ].bmp
* %ProgramFiles%\PC\logs\screenspy\[СЛУЧАЙНОЕ_ИМЯ].bmp
* %ProgramFiles%\PC\logs\urls\visitedurl.txt
* %ProgramFiles%\PC\msdirectx.sys
* %ProgramFiles%\PC\MSFLXGRD.OCX
* %ProgramFiles%\PC\msvbvm60.dll
* %ProgramFiles%\PC\oleaut32.DLL
* %ProgramFiles%\PC\olepro32.DLL
* %ProgramFiles%\PC\remove.exe
* %ProgramFiles%\PC\resiea.res
* %ProgramFiles%\PC\stdole2.tlb
* %ProgramFiles%\PC\svchosts.exe
* %ProgramFiles%\PC\sysstray.exe
* %ProgramFiles%\PC\TABCTL32.OCX
* %ProgramFiles%\PC\unins000.dat
* %ProgramFiles%\PC\unins000.exe
* %ProgramFiles%\PC\Urlhist.tlb
* %ProgramFiles%\PC\VB6STKIT.DLL
* %ProgramFiles%\PC\vbscript.dll
* %ProgramFiles%\PC\web\stoppage.html
* %ProgramFiles%\PC\web\stoppage2.html
* %ProgramFiles%\PC\web\stoppage3.html
* %ProgramFiles%\PC\wndrivers.dat
* %ProgramFiles%\PC\WORDPAD.EXE
* %SystemDrive%\keylog.rtf
* %SystemDrive%\tmptmp.exe


Примечание: %ProgramFiles% - директория Windows для приложений, %SystemDrive% - системный диск.

Через реестр обеспечивает себе автозагрузку при старте Windows:

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"Service Host" = "C:\Program Files\PC\svchosts.exe"


Создает следующие подключи:

* HKEY_CURRENT_USER\Software\VB and VBA Program Settings
* HKEY_CURRENT_USER\Software\VB and VBA Program Settings\PornCleanser
* HKEY_CURRENT_USER\Software\VB and VBA Program Settings\PornCleanser\Settings
* HKEY_CURRENT_USER\Software\VB and VBA Program Settings\PornCleanser\Startup


При попытке посещения запрещенных (заблокированных программой) саайтов, перенаправляет пользователя на www.pcleanser.com/xcxno/stoppage.html

Программа продается через сайт www.lockthemdown.com.
ЗАЩИТА

Для удаления программы воспользуйтесь антивирусом, содержащим в базе ее определение. Затем следует вручную удалить/восстановить созданные/измененные программой ключи реестра.
Действие

Шпионская программа для платформы Windows. Крадет конфиденциальную информацию (журнал нажатия клавиш, скриншоты через заданный промежуток времени, список посещаемых веб-сайтов). Также программа может блокировать некоторые веб-сайты. Работает в скрытом режиме, и не может быть обнаружена пользователем.

Данные о программе:
Название: PornCleanser
Разработчик: L.F. Grundy Software Company
Версия: 1.04.2008.

источник: Symantec.com

[lastmylove]

W32.Momib.A

Признаки

Признаки

При запуске создает следующие файлы - свои копии (%Windir% - установочная директория Windows):

* %Windir%\EXPLORAR.exe
* %Windir%\NETSVC.EXE
* %Windir%\NETUI.exe
* %Windir%\WINVER.exe
* C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\WINSTART.exe
* C:\Documents and Settings\All Users\Start Menu\Programs\Startup\WINSTART.exe


Также создает файлы:

* [Текущая_директория]\Windows Explorer.url
* c:\a.txt
* c:\msg.txt


Пытается удалить все содержимое директории с антивирусной базой Symantec:

* C:\Program Files\Common Files\Symantec Shared\VirusDefs


Обеспечивает себе автозагрузку при старте Windows. Создает/модифицирует в реестре следующие записи:

* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\"Microsoft Net Driver" = "%Windir%\NETSVC.exe"
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\"load" = "%Windir%\NETUI.EXE"
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon\"Shell" = "Explorer.exe %Windir%\WINVER.EXE"


Также создает в реестре запись:

* HKEY_LOCAL_MACHINE\Software\Microsoft\WinNT\"ID" = "[ДД/ММ/ГГГГ]"


(Примечание: ДД/ММ/ГГГГ - день, месяц и год)

Отключает "Диспетчер задач", модифицируя запись в реестре:

* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\System\"DisableTaskMgr" = "1"


Может открывать в "Блокноте" файл c:\msg.txt.

Содержимое файла:

*** I M P O R T A N T M E S S A G E ***
------------------------------------------
ALL DATA [слово скрыто] on your computer
------------------ SORRY ------------------
* tHe pIrAcY kIllEr *

После открытия файла пытается перезаписать и удалить все файлы и директории на всех дисках. В корень дисков копирует файл c:\msg.txt как Piracy.txt.

Копирует на все диски себя под именем Mobimb.exe, создавая там же - в корне - файл автозапуска autorun.inf.

Содержимое файла autorun.inf:

[AutoRun]
open=mobimb.exe
shell\open\Command=mobimb.exe
shell\open\Default=1
shell\explore\Command=mobimb.exe
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Распространяется копированием на съемные и сетевые диски. Может удалять файлы на захваченном компьютере.

источник: Symantec.com

[lastmylove]

VBS.Wisfidix

Признаки

Признаки

При запуске копирует себя как %Windir%\Winlogon.vbs.

(Примечание: %Windir% - директория, в которую установлена Windows)

Копирует себя под разными именами в корень дисков A, C, D, E, F, G.

Список имен:

* GRACIELA EN LA DUCHA.JPG.vbs
* DANIELA EN LA DUCHA.JPG.vbs
* KARINA EN BIKINI.GIF.vbs
* MELISSA DESNUDA.GIF.vbs
* LORENA AMOR.JPG.vbs
* CHICA SOLITARIA.GIF.vbs
* CARLA LORENA EN SU DUCHA.GIF.vbs


Обеспечивает себе автозапуск вместе с Windows. Для этого создает следующие записи в реестре:

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"ooocromosomasgenetics" = "wscript.exe %Windir%\Winlogon.vbs %"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"Winlogon.vbs" = "%Windir%\Winlogon.vbs"


Через реестр заменяет стартовую страницу Internet Explorer:

* HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\"Start Page" = "[http://]www.xxx.voque.net"


Через реестр включает опцию Internet Explorer, предусматривающую начало работы с загрузки стартовой страницы:

* HKEY_CURRENT_USER\Software\Policies\Microsoft\Inte rnet Explorer\Control Panel\"Homepage" = "1"


Предположительно, может рассылать себя по электронной почте.
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Распространяется копированием на диски A, C, D, E, F, G. Предположительно, может распространяться по электронной почте. Представляет собой файл сценария на языке Visual Basic Script (VBS).

источник: Symantec.com

[lastmylove]

W32.Dutan.A

Признаки

Признаки

При запуске создает в системной директории Windows (далее %System%) файлы:

* %System%\winxpsp2.dll
* %System%\csrsss.exe
* %System%\svchosts.exe


Копирует себя на все доступные диски, которым присвоена буква, в корень под именем svchosts.exe. Там же создает файл автозапуска autorun.inf.

Обеспечивает себе автозагрузку при каждом старте Windows. Для этого создает в реестре следующую запись:

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"Microsoft OfficeTool" = "svchosts.exe"


Также может создавать следующие записи в реестре:

* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\{56999cec-3c1d-11db-a335-806d6172696f}\"BaseClass" = "Drive"
* HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\{6dd31b68-fe5a-11db-9fd3-806d6172696f}\"BaseClass" = "Drive"


Ищет на всех дисках файлы с расширением xls и дописывает в их начало 2 КБ случайных данных, сдвигая оригинальное содержимое.
ЗАЩИТА

* Отключить функцию "Восстановление системы" (для Windows ME и XP)
* Полностью проверить систему антивирусом с обновлённой базой сигнатур
* Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)

Действие

Червь для платформы Windows. Распространяется копированием себя на все диски, обеспечивая при помощи файла autorun.inf запуск червя при подключении диска к системе.

Временно выводит из строя все документы Excel (XLS), добавляя в начало 2 КБ случайных данных. Зная об этой особенности червя, документы можно восстановить, удалив эти данные.

источник: Symantec.com