Вредоносное ПО (Обзор)

[PcKill]

Советы по защите от фишинга от PandaLabs

Антивирусная лаборатория PandaLabs опубликовала список советов для всех пользователей, которые совершают покупки через интернет и выполняют другие финансовые операции.


Кража банковских данных – фишинг – является одним из самых популярных нынче типов мошенничества. Как правило, кража данных происходит следующим образом: пользователь получает сообщение по электронной почте, которое содержит ссылку на специальный вредоносный сайт. Подобные сайты часто делают похожими на сайты настоящих банков, чтобы пользователи не догадались, что перед ними подделка.

Специалисты PandaLabs рекомендуют никогда не обращать внимания на сообщения, полученные якобы от банка, в которых запрашиваются какие-либо пароли, поскольку банк никогда не станет рассылать такие письма.

Когда вы находитесь на странице, где нужно ввести какие-либо данные, нужно проверить, действительно ли веб-страница, на которой вы находитесь, принадлежит банку, который вы хотите посетить. Домен страницы должен полностью совпадать с доменом банка. Кроме этого, соединение должно быть защищенным - в строке состояния браузера должен отобразиться небольшой закрытый замок, а веб-адрес должен начинаться с https://. Если остаются сомнения, убедитесь, что сертификат веб-страницы действителен, дважды щелкнув по замку.

Еще один способ убедиться в том, что вы установили безопасное соединение с реальным веб-сайтом компании: ручной набор полного веб-адрес банка в браузере. Не заходите на эту страницу, щелкая по ссылкам, они могут вести на мошеннические сайты.

Наконец, нужно периодически проверять банковскую статистику, чтобы убедиться в отсутствии каких-либо неверных транзакций с вашего счета. Если вы увидели в своей статистике какие-то непонятные операции, рекомендуем связаться с банком, через который были совершены транзакции, чтобы получить о них более подробную информацию.

[T_a_N_a_T]

Исследовательская лаборатория TrendLabs компании Trend Micro сообщает о черве WORM_ZHELATIN.CH, жертвой которого становятся пользователи крупных почтовых провайдеров, таких как AOL, Gmail, Yahoo!, Hotmail, EarthLink, Mail.Ru, а также популярных российских ресурсов Mail.Ru и Rambler.

WORM_ZHELATIN.CH – разновидность червя из семейства Zhelatin. Чаще всего червь появляется в системе из файла, прикрепленного к письму, иногда – загружается по ссылке из программ обмена мгновенными сообщениями.

Заражение компьютера происходит следующим образом: после приведения червя в действие в системе появляется троянская программа, которая в свою очередь запускает файл .DLL. Когда компьютер подсоединеняется к сети, этот файл регистрируется в качестве системного драйвера Layered Service Provider (LSP) и вписывается в Windows TCP или обработчик IP в качестве связующего звена в цепочке. С помощью этих действий WORM_ZHELATIN.CH перехватывает сетевой трафик и направляет пользователя на «нужный» веб-сайт. Кроме этого, данный червь загружает со специального сайта текст сообщений для рассылки по электронной почте.

Некоторое время назад уже появлялись сообщения о различных разновидностях семейства Zhelatin. Так, в начале февраля были массовые рассылки WORM_ZHELATIN.o. Тот червь заражал исполняемые exe-файлы и файлы экранных заставок (.scr), найденные в системе, и тоже распространялся в виде вложений.

Инструмент фильтрации интернет-адресов Trend Micro успешно блокирует зловредные ссылки, относящиеся к этому виду вредоносного ПО, однако специалисты TrendLabs рекомендуют пользователям настороженно относиться к письмам от неизвестных отправителей и не заходить по подозрительным ссылкам, даже если они получены от знакомых.

[T_a_N_a_T]

В феврале самыми активными вирусами в Интернете были Worm.Win32.NetSky.t и Worm.Win32.Bagle.gt, сообщает HiTech.Expert "Лаборатория Касперского".

Лидером стал вирус, занимавший в январе 4 место, Worm.Win32.NetSky.t, переместив январского лидера Worm.Win32.Bagle.gt на второе место. Они заняли 15,82% и 11,85% соответственно в общем объеме распространенных в феврале вирусных программ.

Аналитики отметили высокую активность нового семейства вредоносных программ Zhelatin в феврале, которая привела к большим изменениям в февральской двадцатке наиболее распространенных вредоносных программ. В частности, из 9 новичков рейтинга 6 представляют Zhelatin.

3-е место занял новый "червь" Worm.Win32.Zhelatin.dam с долей 8,19%, переместив Worm.Win32.NetSky.аа с долей 3,27% на 7 место. Занимавший 2 место в январе Worm.Win32.NetSky.q опустился на 4 место с долей 7,92%. 5 и 6 места заняли новые вирусы Worm.Win32.Zhelatin.o и Worm.Win32.Warezov.ls с долями в общем объеме распространенных в феврале вирусных программ 6,83% и 5,03% соответственно. Worm.Win32.Zhelatin.o переместил вирус Worm.Win32.Bagle.gеn на 19 место с долей 1,26%, а Worm.Win32.Warezov.ls вообще вытеснил из февральской двадцатки Win32.Small.dam.

Помимо большого количества новичков, аналитики также отметили вернувшихся из небытия в двадцатку лидеров Worm.Win32.Nyxem.e (15 место, доля - 1,66%), Worm.Win32.Scano.gen (14 место, доля - 1,83%) и Worm.Win32.NetSky.b (16 место, доля - 1,59%).

Также они отмечают значительный процент прочих вредоносных программ от общего числа перехваченных - 12,86%, что указывает на большое количество прочих "червей" и "троянских программ", относящихся к другим семействам.

[starik]

В феврале программа Analog closk при синфронизации с сервером точного времени принесла червя Worm.Win32 поймать не удалось пришлось сносить систему Будьте осторожны у меня стоял Avast 4 7

[T_a_N_a_T]

Троян ShotOne становится причиной целого ряда проблем. С модификациями реестра Windows, этот троян может блокировать обновления Windows и доступ к пункту меню Файл в Internet Explorer или Windows Explorer. Кроме того, он прячет содержимое папок "Мои документы" и "Мой компьютер".

Среди других вредоносных действий данного трояна - отключение на панели задач меню, вызываемого правой кнопкой мыши, и кнопки "Пуск", скрытие значков в области уведомления и отключение опций "Запуск" и "Поиск" в меню "Пуск". Троян запускается вместе с загрузкой системы. При запуске он выбрасывает целую серию окон. Более того, троян перезагружает включенный компьютер, зараженный им, каждые три часа.

Троян Yabarasu, который запускается при загрузке системы. Yabarasu копирует себя в зараженную систему. Он прячет расширения всех файлов и всплывающие подсказки (информационные окна, которые появляются в Windows при наведении курсора на файл). Yabarasu также прячет папки на диске C, а вместо них размещает свои копии с идентичным названием и значком. При запуске подобного файла, пользователь фактически запускает трояна. И ShotOne, и Yabarasu попадают на компьютеры через электронную почту, файловые загрузки, зараженные запоминающие устройства и др.

На этой неделе PandaLabs зарегистрировала несколько вариантов червей семейства Rinbot: Rinbot.B, Rinbot.F, Rinbot.G и Rinbot.H. Эти черви распространяются копируя самих себя на съемные носители и сетевые ресурсы совместного пользования. Они также записывают свои копии на USB-устройства (MP3-плейеры, карты памяти, и т.п.), подключаемые к компьютеру. Некоторые из разновидностей используют для распространения уязвимости. Rinbot.B, например, пользуется уязвимостями LSASS и RPC DCOM. Недавно появились патчи для устранения этих брешей безопасности.

Rinbot.G использует брешь SQL Server и проходит идентификацию как пользователь. Как только червь попадает в компьютер, он через FTP загружает свою копию. А затем запускается в системе. Rinbot.H также использует для своего распространения уязвимость. Он ищет серверы с уязвимостью MS01-032, которую можно устранить с помощью одноименного патча от Microsoft. Черви семейства Rinbot предназначены для открытия порта в зараженном компьютере и установления подключения к серверу IRC. Благодаря этому, хакер может удаленно контролировать компьютер.

Кроме того, червь загружает из интернета трояна под названием Spammer.ZV, который начинает рассылать спам по всем адресам, найденным на зараженном компьютере. И, в конечном счете, он изменяет настройки безопасности и системные разрешения Internet Explorer, что снижает уровень безопасности компьютера. Интересной отличительной чертой кода Rinbot.B стало то, что в его состав входит запись, которая была сделана, по его утверждению, во время интервью CNN с создателями данного семейства червей, где последние объясняют причины, побудившие их к творению.

Expiro.А. поражает исполняемые файлы (.exe) в папке и подпапках Program Files. Свою копию он также оставляет в директории Windows. Когда пользователь запускает зараженный файл, вместе с ним запускается и вирус. Этот прием применяется для того, чтобы пользователи не заметили никаких видимых признаков инфицирования. Expiro.A завершает все свои процессы, если у него появляется подозрение, что компьютер сканируется с помощью решения безопасности. Несколько разделов данного вредоносного кода зашифрованы для того, чтобы его было сложнее обнаружить.

[Abai]

03.03.2007
Trojan.Win32.StartPage.anh

Видимые проявления: Подмена стартовой страницы на http://www.infocontainer.com

Троянская программа, размер исполняемого файла 14848 байт, исполняемый файл не сжат и не зашифрован. В случае запуска скрытно модифицирует стартовую страницу Internet Explorer путем записи в параметр "Start Page" ключа реестра Software\Microsoft\Internet Explorer\Main значения http://www.infocontainer.com. После выполнения данной операции троянская программа завершает работу
================================================== ======

28.03.2007
Trojan.Win32.Small.kt

Видимые проявления: Посторонняя библиотека swmclip.dll

Троянская библиотека, размер 4 кб, не сжата и не зашифрована, известна под именем swmclip.dll. В теле библиотеки видны текстовые константы «Передать WM», «с протекцией сделки» и номера кошельков злоумышленника.
В момент инициализации библиотека создает поток. Поток выполняет поиск окна с заголовком «Передать WM» и кнопкой внутри. В случае его обнаружения производится открытие буфера обмена и считывание содержащихся в нем данных. Если содержимое буфера обмена начинается с буквы R, Z или E, то в буфер обмена записывается номер R, Z или E кошелька злоумышленника. После этого поток приостанавливает свою работу на 60 мс, после чего процесс повторяется.
================================================== =======

07.05.2007
Trojan.Win32.VB.atg

Троянская программа, написана на Basic, исполняемый файл известен под именем tel.xls.exe. Иконка файла визуально очень похожа на иконку документа Excel, что в сочетании двойным расширением «xls» должно вводить пользователя в заблуждение. Файл не сжат и не зашифрован, размер 45 кб.
В случае запуска скрытно выполняет следующие действия:
1. Создает файлы WINDOWS\system32\SocksA.exe, WINDOWS\system32\FileKan.exe, WINDOWS\svchost.exe, WINDOWS\Session.exe. Эти файлы содержат копию трояна. Кроме того, создается файл WINDOWS\BACKINF.TAB, по структуре являющийся файлом AUTORUN.INF с содержимым вида:

[AutoRun]
open=tel.xls.exe
shellexecute=tel.xls.exe
shell\Auto\command=tel.xls.exe
shell=Auto

2. Регистрирует SocksA.exe в автозапуске через ключ Run реестра
3. Запускает файл WINDOWS\svchost.exe
4. Вызывает проводник – командная строка имеет вид «explorer C:\» , после чего завершает работу
5. Троянский процесс svchost.exe выполняет в цикле операцию 1 из вышеописанного алгоритма и создает в корне диска файлы tel.xls.exe (атрибуты «скрытый», «системный») и AUTORUN.INF (атрибуты «скрытый» и «системный»). Файл AUTORUN.INF ссылается на tel.xls.exe и применяется для автозапуска трояна. Данная операция повторяется с задержкой примерно 5 секунд и применяется в качестве меры защиты от удаления. Кроме того, в трояне предусмотрена модификация параметра CheckedValue ключа реестра SOFTWARE\Microsoft\ Windows\CurrentVersion\Explorer\ Advanced\Folder\Hidden\SHOWALL. По умолчанию это значение имеет тип REG_DWORD и значение 1. Троян содержит программный код для работы с базой UFSYSTEM.

[lastmylove]

Источник: Sophos.com, cnews.ru

[lastmylove]

Troj/Proxy-HV

Признаки

При первом запуске копирует себя в системную директорию Windows под именем ntos.exe.

Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте системы:


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = "%System%\userinit.exe,%System%\ntos.exe"

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Загружает из интернета и выполняет другой вредоносный код;
Автоматически загружается после запуска Windows.
Открывает на компьютере "чёрный ход"

Тип:
Троян

Операционная система:
Windows

Уровень:
низкий

[lastmylove]

Softomate

Признаки

Устанавливается в директории %Program Files%\GameAbyss Toolbar\.

Копирует в указанную директорию следующие файлы:


basis.xml
demo_logo.bmp
error.html
gameabyssnet.dll
nav.bmp
options.html
toolbar.crc
version.txt



Файл gameabyssnet.dll регистрируется как COM-объект, плагин, панель инструментов (toolbar) и Вспомогательный объект браузера (Browser Helper Object) Microsoft Internet Explorer.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Работает с браузером Microsoft Internet Explorer: устанавливает панель (toolbar), модифицирует настройки, отображает всплывающие окна с рекламой, связывается с удалённым сервером.

Тип:
Adware

Операционная система:
Windows

Уровень:
низкий

[lastmylove]

W32/Rbot-GSD

Признаки

Распространяется, используя критические уязвимости, не требующие для эксплуатации вмешательства пользователя: LSASS (MS04-011), RPC-DCOM (MS04-012), WKS (MS03-049) (CAN-2003-0812), MSSQL (MS02-039) (CAN-2002-0649), RealCast.

Копирует себя на сетевые диски, защищённые слабыми паролями на запись.

Подключается к IRC-серверу, чей адрес записан в коде, и ожидает команд на одном из каналов.

При запуске копирует себя в системную директорию Windows под именем scrov.exe и создаёт в корневой директории файл a.bat.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Действие
Распространяется копированием себя на сетевые диски, в том числе - защищённые слабыми паролями на доступ, а также при помощи уязвимостей, не требующих для эксплуатации вмешательства пользователя.

Устанавливает связь с атакующим через канал IRC-сервера, может принимать и выполнять команды.

Тип:
Троян

Операционная система:
Windows

Уровень:
низкий

[lastmylove]

W32/Vanebot-AZ

Червь

Операционная система:
Windows

Уровень:
низкий

Признаки

При первом запуске копирует себя в системную директорию Windows (%System%) под именем lssas.exe (созвучно с существующим в системе файлом lsass.exe).

Записывает ссылку на себя в раздел реестра, отвечающий за автозапуск проиложений при старте системы:


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \"Local Security Authority Service" = "%System%\lssas.exe"

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Открывает на компьютере "чёрный ход", подключаясь к каналу на IRC-сервере; может выполнять команды атакующего, в частности, загружать и выполнять другой вредоносный код.

[lastmylove]

Trojan.Retvorp

Троян

Операционная система:
Windows

Уровень:
низкий

Размер:
168.964 байт

Признаки

При запуске создаёт файл %System%\drivers\mxdispdr.sys.

Извлекает из себя DLL-файл и сохраняет его как %System%\msplrct.dll; встраивает его загрузку в процесс winlogon.exe, модифицируя его.

Пытается завершить процессы:


httplook.exe
wireshark.exe
windump.exe
ehsniffer.exe
ethread.exe
netxray.exe
iris.exe
Пытается связаться с сайтами для загрузки и выполнения дополнительных файлов.
Сайты: www.provter.com и www.msthott.com.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Действие
Создаёт на диске библиотеку (DLL) и внедряет её в процесс winlogon.exe.
Пытается загружать из интернета другой вредоносный код.

[lastmylove]

W32.Atnas.A

Червь

Операционная система:
Windows

Уровень:
низкий

Размер:
188.390 байт

Признаки

При запуске создаёт свои копии в системной директории Windows:

%Windir%\System32\snd32_win.exe
%Windir%\System32\winlib32.exe
%Windir%\System32\[СТРОКА_1][СТРОКА_2].exe



[СТРОКА_1] и [СТРОКА_2] выбираются случайным образом из следующего списка:


win
reg
hook
sp32
w32
lib
mic
dos
load
cbf
dll
service
_i38



Создаёт текстовый файл со списком активных процессов:


%Windir%\System32\whandle.dll



Создаёт файлы:


%Windir%\err.msg
%Windir%\System32\santas.bitch.txt



Пытается заменить .exe файлы, относящиеся к активным процессам, на свои копии: переименовывает .exe файл и создаёт файл с таким же именем и расширением, записывая туда себя.

Также пытается заменить на себя, с переименованием оригинала, следующие файлы:


regedit.exe
msconfig.exe
taskmgr.exe



То же самое пытается проделать с исполняемыми файлами, относящимися к приложениям файлообменных сетей, антивирусов и других программ:


emule.exe
avgnt.exe
preupd.exe
avcenter.exe
bootwarn.exe
cclmscan.exe
navapsvc.exe
navapw32.exe
navstub.exe
navw32.exe
navwnt.exe
opscan.exe
qconsole.exe
savscan.exe
mcdetect.exe
multiscan.exe
zlclient.exe
zatutor.exe
spybotsd.exe
teatimer.exe
blindman.exe
update.exe
limewire.exe
uninstall.exe



Создаёт на всех локальных дисках директорию Fuck_U_Man.

Записывает ссылку на себя в разделы реестра, отвечающие за автозагрузку приложений:


HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"Microsoft DLL Library" = "%Windir%\System32\winlib32.exe /reg"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"Windows Sound Emulator" = "%Windir%\System32\snd32_win.exe /snd"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"Graphics adapter service" = "%Windir%\System32\windll.exe /w"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"Santa Bastards Bitch" = "%Windir%\System32\SANTAS.BITCH.txt"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\"Microsoft DLL Library" = "%Windir%\System32\winlib32.exe /reg"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\"Windows Sound Emulator" = "%Windir%\System32\snd32_win.exe /snd"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\"Graphics adapter service" = "%Windir%\System32\windll.exe /w"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\"Santa Bastards Bitch" = "%Windir%\System32\SANTAS.BITCH.txt"



Создаёт множество своих копий в директориях совместного использования файлообменных сетей под следующими именами:


321 Studios GamesXCopy 1.0.8 Crack.exe
Ad-aware Pro Crack.exe
Adobe Acrobat Reader crack.exe
Adobe Golive v6.0 Keygen.exe
Adobe Illustrator v10.0 Time Limit Crack.exe
Adobe ImageReady v1.0 crack.exe
Adobe PageMaker v7.0 Keygen.exe
Adobe Photoshop 7 Crack.exe
Adobe Photoshop 7 Cracked.exe
Adobe Photoshop 7 Keygen.exe
Adobe Photoshop 7 Setup.exe
Adobe Photoshop 7.exe
Adobe Photoshop all.exe
Adobe Serial Generator v2.0.exe
Age of Empires II The Age of Kings NO CD crack.exe
Age Of Mythology - The Titans no cd crack.exe
Age Of Mythology no cd crack.exe
Aim Hacker.exe
Aim Password Cracker.exe
Alias Acclaim crack.exe
All Macromedia Products Keygen.exe
Anti-Trojan 4.0.exe
Aol Hacker.exe
Aol Password Cracker.exe
ArtMoney SE v7.05.exe
Artys Flash Ripper Cracked.exe
Avant Browser.exe
Backyard Baseball 2003 no cd crack.exe
Backyard Wrestling 2 - There Goes the Neighborhood Eidos Interactive rack.exe
Battlefield 1942 no cd crack.exe
Battlefield Vietnam EA Games crack.exe
Battlefield Vietnam Multiplayer Online Crack.exe
Besieger Strategy DreamCatcher Interactive crack.exe
Blinx 2 - Masters of Time & Space Microsoft crack.exe
Blitzkrieg - Burning Horizon Strategy CDV Software GmbH crack.exe
Britney Spears Dance Beat.exe
Call of Duty Activision crack.exe
Call Of Duty no cd crack.exe
Cheat Engine 5.0.exe
City of Heroes Role-Playing NCsoft crack.exe
Civilization III crack.exe
Classic NES Series - The Legend of Zelda GBA Role-Playing Nintendo crack.exe
CloneDVD v1.x crack.exe
Command & Conquer - Generals no cd crack.exe
Command & Conquer - Generals Zero Hour no cd crack.exe
Command & Conquer - Generals Zero Hour Strategy EA Games crack.exe
Counter-Strike Condition Zero Keygen.exe
Credit card generator.exe
Crusader Kings Strategy Paradox Entertainment crack.exe
Cubase Audio XT 3.X crack.exe
Dark Age Of Camelot - Trials Of Atlantis no cd crack.exe
Dark Matter - The Baryon Proj crack.exe
Deus Ex Invisible War NO CD Crack.exe
Diablo 2 NO CD crack.exe
DivX Player and Codec.exe
Doom 3 Activision crack.exe
DOOM 3 Crack.exe
DOOM 3 Hacks.exe
DOOM 3 Hackz.exe
Doom 3 NO CD Crack.exe
DOOM 3.exe
Download Accelerator Plus.exe
Dragon Ball Z - Budokai 3 Atari crack.exe
Dragon Ball Z - Supersonic Warriors GBA Atari crack.exe
Dragon Warrior VIII Role-Playing Square Enix crack.exe
DRIV3R Atari crack.exe
Dungeon Lords Role-Playing DreamCatcher Interactive crack.exe
Dungeon Siege no cd crack.exe
DVD Burner.exe
DVD Copy.exe
DVD Ripper Gold.exe
DVD Ripper.exe
Email Bomber.exe
Email Extractor.exe
Email Spider by Zim.exe
eMule 0.44b.exe
eMule.exe
Enter the Matrix Atari crack.exe
er and the Prisoner of Azkaban Adventure EA Games crack.exe
Harry Potter and the Sorcerers Stone no cd crack.exe
Heroes of Might & Magic IV no cd crack.exe
Hidden & Dangerous 2 NO CD Crack.exe
Hotmail Cracker.exe
Hotmail Hacker.exe
Icewind Dale 2 no cd crack.exe
ICQ 4.exe
ICQ Pro 2003b.exe
iMesh patch.exe
Irc Client.exe
J.Lo Bikini Screensaver.exe
Jedi Academy NO CD Crack.exe
Joint Operations - Typhoon Rising NovaLogic crack.exe
Juiced Acclaim crack.exe
Kingdom Hearts II Role-Playing Square Enix crack.exe
Knights Apprentice Memoricks Adventures Games crack.exe
lifefuxor.exe
Limewire Pro Crack.exe
LimeWire server scanner.exe
Macromedia ColdFusion MX crack.exe
Macromedia Contribute v2.0 crack.exe
Macromedia Director 8 Crack.exe
Macromedia Dreamweaver 4.0 Patch.exe
Macromedia Dreamweaver MX v6.0 crack.exe
Macromedia Dreamweaver UltraDev 4.0 Patch.exe
Macromedia Fireworks 4.0 Patch.exe
Macromedia Flash All Versions keygen.exe
Macromedia Flash MX v6.0 crack.exe
Macromedia Flash SWF-Unprotect v2.0.exe
Macromedia FreeHand v10 Loader.exe
Macromedia Keygen.exe
Madden NFL 2003 no cd crack.exe
Madden NFL 2005 EA crack.exe
Mafia no cd crack.exe
Malice Mud Duck Productions crack.exe
Mario Pinball Land GBA Puzzle Nintendo crack.exe
Mario Tennis GC Nintendo crack.exe
Mass Emailer.exe
Mass Mailer - by ceo.exe
Matrix Screensaver.exe
Max Payne 2 Fall Of Max Payne no cd crack.exe
Max Payne 2 NO CD Crack.exe
McFarlanes Evil Prophecy Konami crack.exe
Medal Of Honor - Allied Assault no cd crack.exe
Medal Of Honor - Allied Assault BreakThrough no cd crack.exe
Medal of Honor Pacific Assault EA Games crack.exe
Medieval - Total War no cd crack.exe
Mega Man Anniversary Collection GC Capcom crack.exe
Metal Gear Acid PSP Strategy Konami crack.exe
Metal Gear Solid 3 - Snake Eater Konami crack.exe
Microsoft Flight Simulator 2004 - A Century Of Flight no cd crack.exe
Microsoft Office 2000 Regmaker.exe
Microsoft Office XP Activation Crack.exe
Microsoft Office XP Activation Killer.exe
Microsoft Office XP Professional Crack.exe
Microsoft Office XP Professional Serial.exe
Microsoft Office XP Universal Activator v1.0.exe
Midnight Club 3 - DUB Edition Rockstar Games crack.exe
mirc 6.1x reg entries.exe
mIRC 6.X crack.exe
Morpheus patch.exe
MS Office XP Activation Crack.exe
MS Zoo Tycoon no cd crack.exe
MSN advert remover.exe
MSN Toolbar advert remover.exe
MVP Baseball 2004 EA crack.exe
NAV 2005 Crack.exe
NBA Live 2003 crack.exe
NBA Live 2004 crack.exe
NCAA Football 2005 EA crack.exe
Need For Speed 5 - no cd.exe
Need for Speed Hot Pursuit 2 CD KeyGenerator.exe
Need for speed underground - nocd.exe
Need for Speed Underground 2 crack.exe
Need for Speed Underground 2 Electronic Arts crack.exe
Need for Speed Underground 2 NO CD crack.exe
Need for Speed Underground NO CD crack.exe
Need for Speed4 - NOCD.exe
Nero Burning ROM v6.x crack.exe
Ninja Gaiden Tecmo crack.exe
Nortan Anti Virus 2005 Crack.exe
Nuker Pro 1.3.exe
Nuker.exe
Onimusha 3 - Demon Siege Adventure Capcom crack.exe
Play Games Online For FREE.exe
PortFUCK.exe
Portscanner by Jez.exe
Poser 5.exe
Poser 6 Crack.exe
Poser 6.exe
ProRat Gold.exe
PS2 Emulator by Zim.exe
PS2 Emulator.exe
PS2 Rom Extractor.exe
Psi-Ops - The Mindgate Conspiracy Midway crack.exe
Purge Jihad Freeform Interactive LLC crack.exe
Qauke.exe
Quake Arena Crack.exe
Quake Arena Keygen.exe
Quake Arena.exe
RealPlayer crack.exe
Red Dead Revolver Rockstar Games crack.exe
Resident Evil 4 GC Adventure Capcom crack.exe
Rise of Nations - Thrones & Patriots Strategy Microsoft crack.exe
RoboForm crack.exe
Roller Coaster Tycoon no cd crack.exe
Roxio Easy CD Creator 5 Crack.exe
Runescape Cracker.exe
Runescape Hacker Pro 3.1.exe
Runescape Hackz.exe
Runescape Money Hack.exe
RYL crack.exe
Second Life Role-Playing Linden Lab crack.exe
Shadow Ops - Red Mercury Atari crack.exe
ShellShock - Nam 67 Eidos Interactive crack.exe
Silent Storm - Sentinels Strategy _No Company crack.exe
Sim City 4 - Rush Hour no cd crack.exe
Sim City 4 Deluxe no cd crack.exe
Sim Theme Park World no cd crack.exe
Snood crack.exe
Snowblind Eidos Interactive crack.exe
Soldier of Fortune II- Double Helix no cd crack.exe
SolSuite 2004 - Solitaire Card Games Suite crack.exe
Sonic the Hedgehog 3 crack.exe
Spider-Man 2 Activision crack.exe
Spider-Man 2 GC Activision crack.exe
Sponge Bob Square Pants - Operation Krabby Patty no cd crack.exe
Spybot Search and Destroy.exe
Spyware Doctor Crack.exe
Star Wars - Jedi Knight - Jedi Academy no cd crack.exe
Star Wars - Knights of the Old Republic Role-Playing LucasArts crack.exe
Star Wars Galactic Battlegrounds- Clone Campaigns no cd crack.exe
Star Wars Jedi Knight II - Jedi Outcast no cd crack.exe
Starcraft - Battlechest no cd crack.exe
The Chronicles of Riddick - Escape From Butcher Bay VU Games crack.exe
The Legend of Zelda - Four Swords Adventures GC Nintendo crack.exe
The Legend of Zelda - The Minish Cap GBA Nintendo crack.exe
The Lord of the Rings The Return of The King crack.exe
The Matrix Online Crack.exe
The Matrix Online Cracked.exe
The Matrix Online.exe
The Sims no cd crack.exe
The Sims - Hot Date Expansion Pack no cd crack.exe
The Sims - Makin Magic Expansion Pack no cd crack.exe
The Sims - Superstar Expansion Pack no cd crack.exe
The Sims - Unleashed Expansion Pack no cd crack.exe
The Sims - Vacation Expansion Pack no cd crack.exe
The Sims 2 crack.exe
The Sims Deluxe no cd crack.exe
The Sims Double Deluxe no cd crack.exe
The Sims Game Crack.exe
The Suffering Encore Software Inc. crack.exe
The Suffering Midway crack.exe
Thief - Deadly Shadows Eidos Interactive crack.exe
Tiger Woods PGA Tour 2004 crack.exe
Tom Clancys Ghost Recon - Desert Siege no cd crack.exe
Tony Hawks Underground crack.exe
Trillian crasher.exe
TSearch (Undetectable).exe
Universal Game Crack.exe
Unreal Tournament 2003 no cd crack.exe
Vampire - The Masquerade - Bloodlines Role-Playing Activision crack.exe
Warcraft 3 Battle.net Crack.exe
Warcraft III - Reign Of Chaos no cd crack.exe
Warez P2P.exe
Webclaw 8 by Seven.exe
Webroot Spy Sweeper.exe
Website Hacker.exe
Website Nuker by Techo.exe
Win An Xbox.exe
Windows Hacker.exe
windows server 2003 crack.exe
Windows XP home edition Activation.exe
Winmx.exe
Winrar.exe
WinZip 9.0 Crack by Genta.exe
WinZip All Versions keygen.exe
Winzip keygen.exe
WinZip Self-Extractor v2.2 Patch.exe
WinZip v8.0 Keygen.exe
WinZip v8.x - v9.x patch.exe
WinZIP v9.0 Keygen.exe
Working Iso Burner.exe
World of Warcraft Role-Playing Blizzard Entertainment crack.exe
Worms Armageddon NO CD crack.exe
WWE Day of Reckoning GC THQ crack.exe
WWE SmackDown! vs. Raw THQ crack.exe
XBOX Emulator by zim.exe
XBOX Emulator.exe
XBOX Rom Extractor.exe
XBOX X-Fer Ripper and Transfer.exe
XXX PORN FREE!!!.exe
Yoshinoya Success crack.exe
ZoneAlarm crack.exe
Zoo Tycoon - Complete Collection no cd crack.exe
Zoo Tycoon no cd crack.exe
Zoo Tycoon- Dinosaur Digs no cd crack.exe



Проводит DoS-атаку при помощи ping против следующих сайтов:


www.flirtlife.de
www.fribad.de
www.muelhens.de
www.sir-foes.com
www10.flirtlife.de



Может попытаться удалить файлы в системной директории Windows (%Windir%\system32).

В определённые дни может попытаться отформатировать диск C.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Распространяется посредством копирования себя в файлообменные (P2P) сети; проводит атаки отказа в обслуживании (DoS).

[lastmylove]

W32/Akbot-AS

Червь

Операционная система:
Windows

Уровень:
низкий

Признаки

При старте копирует себя в системную директорию под именем sslms.exe.

Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте системы:


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \"WinDll (sslms.exe)" = "rundll32.exe %System%\sslms.exe,start"

Использует для распространения критические уязвимости Windows к переполнению буфера, не требующие вмешательства пользователя, в частности, MS04-007.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Распространяется посредством копирования себя на компьютеры, зараженные W32/Sasser, и эксплуатации уязвимостей в Windows, не требующих вмешательства пользователя.

Открывает на компьютере "чёрный ход"
Загружает и выполняет дополнительный код из интернета
Ослабляет настройки безопасности системы
Загружается при старте системы
Похищает информацию

[lastmylove]

W32.Himu.A@mm

Червь

Операционная система:
Windows

Уровень:
средний

Размер:
37.376 байт

Признаки

При запуске отображает диалоговое окно:
Заголовок: Compressed (zipped) Folders Error
Сообщение: The Compressed (zipped) Folder is invalid or corrupted

Сохраняет свои копии как:

%UserProfile%\Start Menu\Programs\Startup\SERVIC3S.exe
%ProgramFiles%\WindowsUpdate\System Security\passwordlist.exe
%ProgramFiles%\WindowsUpdate\System Security\Updates.tmp\bangladesh.exe
%ProgramFiles%\WindowsUpdate\System Security\Updates.tmp\love.exe
%ProgramFiles%\WindowsUpdate\System Security\usernames.exe
D:\SystemVoliumeInfo\services.exe
D:\SystemVoliumeInfo\Mails\asdf45396ftADMIN.exe
D:\SystemVoliumeInfo\Mails\USERNAE485369KD5L.exe
D:\SystemVoliumeInfo\Mails\STATUSreport252.exe
D:\SystemVoliumeInfo\Mails\global_report.exe
D:\SystemVoliumeInfo\Mails\BBCandCNNreport.exe

Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"Microsoft Himu" = "D:\SystemVoliumeInfo\services.exe"

Пытается завершить следующие процессы:

avgctrl.exe
avgamsvr.exe
avgserv.exe
avgmsvr.exe
avgcc32.exe
avgcc.exe
avginet.exe
avgupsvc.exe
avgemc.exe
avgnt.exe
avgregcl.exe
Script
avgserv9.exe
avgw.exe
alogserv.exe
avsynmgr.exe
Mpfsheild.exe
MpfAgent.exe
mpf.exe
MpfConsole.exe
mcagent.exe
mcappins.exe
McDash.exe
mcdetect.exe
mcinfo.exe
mcmnhdlr.exe
mcshield.exe
mctskshd.exe
mcupdate.exe
mcvsescn.exe
mcvsshld.exe
mcvsftsn.exe
mcvsrte.exe
vstskmgr.exe
vsmain.exe
vshwin32.exe
pccpfw.exe
pccclient.exe
pcclient.exe
pccguide.exe
pccnt.exe
Name
pccntmon.exe
pccntupd.exe
PcCtlCom.exe
pcscan.exe
avpm.exe
avpcc.exe
kav.exe
kavmm.exe
kavsvc.exe
AVENGINE.EXE
remupd.exe
inicio.exe
prevsrv.exe
ALsvc.exe
ALMon.exe
SavService.exe
SWNETSUP.exe
ALUNotify.exe
ccApp.exe
nisserv.exe
NISUM.exe
Navapsvc.exe
NMain.exe
Navapw32.exe
VetMsg.exe
VetTray.exe
Vet32.exe
VetNT.exe
vsmon.exe
zlclient.exe
zapro.exe
zonealarm.exe

Отключает доступ к сайтам компаний ИТ-безопасности, включая службы обновлений защитного ПО (перенаправляет их имена на локальный IP):

www.symantec.com 127.0.0.1
www.sophos.com 127.0.0.1
www.avast.com 127.0.0.1
www.mcafee.com 127.0.0.1
www.f-prot.com 127.0.0.1
www.f-secure.com 127.0.0.1
www.avp.com 127.0.0.1
www.kaspersky.com 127.0.0.1
www.trendmicro.com 127.0.0.1
www.bitdefender.com 127.0.0.1
www.my-etrust.com 127.0.0.1
www.norman.com 127.0.0.1
www.grisoft.com 127.0.0.1
www.pandasecurity.com 127.0.0.1

Пытается ограничить доступ пользователя Windows Explorer к определённым приложениям. Для этого устанавливает следующие значения ключей реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer\"RestrictRun" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer\"RestrictRun1" = "msconfig.exe"

Создаёт следующий ключ реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Razaker.
Предположительно, использует его для пометки системы как уже зараженной.

Пытается через реестр отключить защиту McAfee Security:

HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\notify\Global\"{e9d2660c-c448-4ec6-a193-b2f87f3e212f}" = "45 6D 61 69 6C 53 63 61 6E 3A"
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\notify\Global\{B86251C4-A3DD-43fe-8970-6E564B3797EE}" = "56 53 4F 3A"
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\VSO\"AutoClean" = "04 00 00 00 03 00 00 00 90 13 86 90 FB DA 42 46 33 13 85 66 20 E7 3B F5 33 04 04 04"
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\EmailScan\"Enable" = "04 00 00 00 03 00 00 00 BC 2A 89 9A DF 50 32 ED 55 26 3F 04 E7 E3 39 27 04 04 04 04"
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\EmailScan\"SMTPStatus" = "04 00 00 00 03 00 00 00 BC 2A 89 9A DF 50 32 ED 55 26 3F 04 E7 E3 39 27 04 04 04 04"
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\WS\"Enable" = "04 00 00 00 03 00 00 00 BC 2A 89 9A DF 50 32 ED 55 26 3F 04 E7 E3 39 27 04 04 04 04"
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\WS\"Pattern" = "04 00 00 00 03 00 00 00 BC 2A 89 9A DF 50 32 ED 55 26 3F 04 E7 E3 39 27 04 04 04 04"
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\WS\"MaxRcpt" = "04 00 00 00 03 00 00 00 D2 74 D6 56 F5 90 23 CC 55 6E 34 3D 4B 16 80 63 2C 04 04 04"
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\WS\"MinTimeLimit" = "04 00 00 00 03 00 00 00 02 82 11 59 B6 C6 81 AD 4A 6C AD A6 9E A4 4E 09 01 1A 04 04"
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\ScriptStopper\"Enable" = "04 00 00 00 03 00 00 00 BC 2A 89 9A DF 50 32 ED 55 26 3F 04 E7 E3 39 27 04 04 04 04"
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\FT\"Enable" = "04 00 00 00 03 00 00 00 BC 2A 89 9A DF 50 32 ED 55 26 3F 04 E7 E3 39 27 04 04 04 04"
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\ActiveShield\"VirusMapPostPermit" = 04 00 00 00 03 00 00 00 BC 2A 89 9A DF 50 32 ED 55 26 3F 04 E7 E3 39 27 04 04 04 04
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com\Virusscan Online\property\Quarantine\"QuarantinePath" = "9E 00 00 00 08 00 00 00 AD 03 D5 AA 38 58 56 A9 64 CE 6C 6C E1 8D 38 59 D6 9E A4 9E C2 9E DA 9E F1 9E FD 9E EB 9E F3 9E FB 9E F0 9E EA 9E ED 9E BE 9E FF 9E F0 9E FA 9E BE 9E CD 9E FB 9E EA 9E EA 9E F7 9E F0 9E F9 9E ED 9E C2 9E DF 9E F2 9E F2 9E BE 9E CB 9E ED 9E FB 9E EC 9E ED 9E C2 9E DF 9E EE 9E EE 9E F2 9E F7 9E FD 9E FF 9E EA 9E F7 9E F1 9E F0 9E BE 9E DA 9E FF 9E EA 9E FF 9E C2 9E D3 9E FD 9E DF 9E F8 9E FB 9E FB 9E B0 9E FD 9E F1 9E F3 9E C2 9E C8 9E CD 9E D1 9E C2 9E CF 9E EB 9E FF 9E EC 9E FF 9E F0 9E EA 9E F7 9E F0 9E FB 9E 9E 9E"

Пытается отключить Windows Security Centre и ослабить настройки безопасности, через реестр:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"AntiVirusDisableNotify" = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"AntiVirusOverride" = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"FirewallDisableNotify" = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"FirewallOverride" = "00000000"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"UpdatesDisableNotify" = "00000000"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Ls a\"limitblankpassworduse" = "0x00000000"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Lsa\"limitblankpassworduse" = "0x00000000"

Пытается отключить функцию блокирования сценариев в Norton Anti-Virus (NAV Script Blocking).

Добавляет ссылки в "Избранное" Microsoft Internet Explorer:

%SYSTEMROOT%\Documents and Settings\All Users\Favorites\ABOUT_BANGLADESH.url - "http://ourbangla.com"
%SYSTEMROOT%\Documents and Settings\All Users\Favorites\I_HATE_RAZAKER.url - "http://muktijuddha.com"
%SYSTEMROOT%\Documents and Settings\All Users\Favorites\VISIT_BANGLADESH.url - "http://www.parjatan.org"

Копирует себя в корневые директории всех подключенных сетевых дисков от C до Z под именами:

New Compressed (zipped) Folder.exe
kills.bat
format.bat

Также может копировать себя на совместно используемые диски под одним из имён:

Aupee Karim Pics.exe
download.exe
List of the musick.exe
LoveStory.exe
Lyrics Of Papercut.exe
MusicList.exe
readme2006.exe
window shopper.exe

Открывает в системе один или несколько доступных из сети ресурсов, связанных с директорией %PROGRAMFILES%\WindowsUpdate. Название выбирает из "Remote Service", "Himu" или "ADMIN$".

Создаёт и запускает файл D:\SystemVoliumeInfo\rab.bat, который проводит DoS-атаку сайта "http://www.rab.gov.bd" при помощи бесконечной команды ping.

Собирает на дисках адреса электронной почты. Ищет их по строке "mailto:" в файлах с расширениями:


htt
htm
hta
shtml
stm
asp
xml
doc
rtf
dbx
php
php3
phtml
jsp
sql
eml
ini
tbb
tbi

Рассылает себя по найденным адресам.
Характеристика писем:

Адрес отправителя выбирается из списка:

[email protected]
[email protected]
[email protected]
[email protected]
[email protected]



Текст сообщения:
To whom it may concern, We at www.rab.gov.bd are just warning all the online users to watch out for suspicious activities. If you would like to know more about how to report another new violence then please send a mail to us. Thank you for your time.

Тема выбирается из следующих:


Reminder to be aware of TERRORISM
Don't be another victim..!!
RAPID ACTION BATALION
HELP US FOR REMOVE THE TERRORISM

Имя вложения выбирается их следующих:

asdf45396ftADMIN.exe
USERNAE485369KD5L.exe
STATUSreport252.exe
global_report.exe
BBCandCNNreport.exe

Защита

Отключить функцию "Восстановление системы" (для Windows ME и XP)
Удалить из файла hosts записи, сделанные червём
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Распространяется посредством массовой рассылки своих копий по электронной почте, а также копированием на сетевые и совместно используемые диски.

Пытается отключить защитные приложения и заблокировать доступ к некоторым сайтам.

Источник: Symantec.com