Описание вирусов - Страница 2

*PcKill* · 13.11.2006, 23:15

Win32.HLLM.Perf

(Email-Worm.Win32.Bagle.fw, Email-Worm.Win32.Scano.d, Email-Worm.Win32.Scano.e, Email-Worm.Win32.Scano.f, Email-Worm.Win32.Scano.h, Email-Worm.Win32.Scano.j, Exploit, Hoax-LocalIFrame, I-Worm/Generic.IT, New Malware.aj, PSW.Ldpinch.AWF, TSPY_LDPINCH.IT, Trojan-PSW.Win32.LdPinch.hk, Trojan.Agent.IE, Trojan.Bagle.F, Trojan.Pinch.A@m, Trojan.Win32.Inject.z, WORM_ARESES.B, [email protected], Win32.Scano.H@mm, Win32/Areses.D, Win32/Areses.D!Trojan, Win32/Kipis!generic, Worm/Generic.NB, Worm/Generic.NK)

подробнее

*PcKill* · 13.11.2006, 23:18

Win32.HLLM.Beagle

(Download.Trojan, Email-Worm.Win32.Bagle.bu, Email-Worm.Win32.Bagle.et, Email-Worm.Win32.Bagle.pac, I-Worm/Bagle, New Malware, New or modified variant of Bagle, TROJ_DLOADER.BDD, Trojan-Downloader.Win32.Bagle.n, Trojan.Mitglieder, W32.Beagle.gen, W32/Bagle, W32/Bagle.dldr.gen, W32/Bagle.gen, WORM_BAGLE.BX, WORM_Bagle.GEN, Win32.Bagle.EN@mm, Win32/Bagle.DD, Win32/Bagle.DD!Worm, Win32/Bagle.Variant!Worm, Win32/Mitglieder.3058!DLL!Trojan, Win32/Mitglieder.CZ!Trojan, Win32/SillyDL.Trac!Trojan, Worm.Bagle.CD-2)
Добавлен в вирусную базу Dr.Web®: 2006-06-20 18:58:15

Тип вируса: Почтовый червь массовой рассылки
подробнее

*PcKill* · 13.11.2006, 23:19

Win32.HLLM.Netsky.35328

W32.Netsky.P@mm, W32.Netsky.P@mm!enc, W32.Netsky.Q@mm, W32.Netsky.dam, W32/Cabanas, W32/Netsky.dam, W32/Netsky.p.eml!exe, W32/Netsky.p@MM, W32/Netsky.p@MM!zip, WORM_NETSKY.DAM, WORM_NETSKY.P, WORM_NETSKY.Q, WORM_Netsky.Dam, Win32/NetSky.P!Corrupted!Trojan, Win32/Netsky.P!Worm, Win32/Netsky.P.ZIP!Trojan, WinNT/Cabanas.B, application Exploit-MIME.gen.c)
Добавлен в вирусную базу Dr.Web®: 2004-03-22 13:20:00

Тип вируса: узнай больше

Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент
таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы.
Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat!
настраивается следующим образом:
Ящик - Свойства почтового ящика - Файлы и каталоги - Хранить присоединенные файлы в отдельном
каталоге
(Account - Properties - Files & Directories - Keep attachment files - Separately in a special directory).

visor · 17.01.2007, 09:02

Китайский киберчервь поразил миллионы компьютеров в США, Европе и самой КНР. Вирус получил название worm.whboy по названию провинции Ухань

Червь препятствует запуску программ и нарушает целостность работы баз данных. Распространяется через Интернет.
Киберчервя оценили по высшей категории опасности из-за серьезного потенциала его широкого распространения. Новый червь может препятствовать зараженным компьютерам управлять антивирусным программным обеспечением и любыми программами, использующими расширение «exe». Пользователи узнают о заражении системы, когда ярлыки файлов превращаются в изображения панд с горящими китайскими фонарями.
Для защиты от вируса эксперты советуют пользователям не открывать незнакомые ссылки. Они также убеждают поднять уровень безопасности интернет-браузеров хотя бы до среднего и изменить пароли на вход в Windows.

КириллK · 06.05.2007, 19:17

Руткиты (rootkits) — это утилиты, используемые хакерами для сокрытия своей вредоносной активности: установки шпионского ПО, кражи данных и т.д. Впервые они появились около 10 лет назад. Изначально данный вид вредоносного ПО был разработан для систем Unix, но сейчас появляется все больше руткитов под Windows.
Несмотря на то что руткиты не являются чем-то новым, они были заново открыты как вид вредоносного ПО, которое может помочь хакеру незаметно выполнять множество вредоносных действий. Мы видели, как они были использованы в комбинации с бэкдорами (backdoor) для установления удаленного контроля над компьютерами».

Для сокрытия своей вредоносной активности руткиты модифицируют операционную систему на компьютере и могут даже заменять основные функции. Это значит, что они не только скрывают свое собственное присутствие, но также и действия, которые предпринимает злоумышленник на зараженном компьютере. Более того, руткит может скрывать присутствие других вредоносных программ на компьютере, просто изменяя файловые данные, ключи реестра или активные процессы.

По мнению экспертов PandaLabs, лучшая защита от руткитов — предупредительные меры, например, адекватно обновленное антивирусное решение, которое способно блокировать проникновение большинства руткитов. Межсетевые экраны также полезны, так как могут помешать руткитам проникнуть сквозь незащищенные порты и остановить их активность, если они уже установились на компьютер

Классификация угроз для вашего компьютера

Вирусы

Программы, заражающие другие программы путем добавления в них своего кода, чтобы получить управление при запуске зараженных файлов. Скорость распространения вирусов немного ниже, чем у червей.

"Троянские" программы

Строго говоря, данная категория программ может быть отнесена к вирусам. В нее входят программы, осуществляющие различные действия, не санкционированные пользователем: сбор информации и ее передачу злоумышленнику, разрушение или злонамеренная модификация данных, нарушение работоспособности компьютера, использование ресурсов компьютера в своих целях.

Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособности зараженного компьютера (например, троянские программы, разработанные для распределенных DoS-атак на удаленные ресурсы сети).

Троянские кони
Отличаются от вирусов тем, что они не размножаются и часто маскируются под видом полезных и безопасных программ или обновлений для популярных программ.

Интернет-трояны - программы, которые либо дают доступ к компьютеру с другого компьютера без ведома пользователя (BackDoor), либо высылают по определенному адресу какую-либо информацию с компьютера-жертвы (Trojan.PSW).

Черви
Данная категория вредоносного ПО не дописывается к исполнимому коду, а рассылает себя на сетевые ресурсы. К данной категории относятся программы, распространяющие свои копии по локальным и/или глобальным сетям с целью:
проникновения на удаленные компьютеры;
запуска своей копии на удаленном компьютере;
дальнейшего распространения на другие компьютеры сети.
Для своего распространения сетевые черви используют всевозможные компьютерные и мобильные сети: электронную почту, системы обмена мгновенными сообщениями, файлообменные (P2P) и IRC-сети, LAN, сети обмена данными между мобильными устройствами (телефонами, карманными компьютерами) и т. д.
Большинство известных сетевых червей распространяется в виде файлов: вложений в электронные письма, ссылок на зараженный файл на каком-либо веб- или FTP-ресурсе, в ICQ- и IRC-сообщениях, в виде файла в каталоге обмена P2P и т.п.Некоторые сетевые черви (так называемые "бесфайловые" или "пакетные") распространяются в виде сетевых пакетов, проникая непосредственно в память компьютера и активизируя свой код.Для проникновения на удаленные компьютеры и запуска своей копии сетевые черви используют различные методы: приемы социального инжиниринга (например, сопровождение электронным письмом, призывающим открыть вложенный файл), недочеты в конфигурации сети (к примеру, копирование на диск, открытый на полный доступ), ошибки в службах безопасности операционных систем и их приложений.
Некоторые сетевые черви обладают также свойствами других разновидностей вредоносного программного обеспечения. Например, содержат троянские функции или способны заражать выполняемые файлы на локальном диске, то есть имеют свойства троянской программы и/или компьютерного вируса.

Хакерские утилиты
Программы, предназначенные для нанесения какого-либо вреда программному обеспечению (подбор паролей, удаленное управление и т.д.). Программы данного класса не являются ни вирусами, ни "троянскими конями" и не наносят вреда компьютерам, на которых они установлены, но при этом могут использоваться для проведения атаки на другие компьютеры и на чужую информацию.
К данной категории программ относятся:
утилиты автоматизации создания сетевых червей, компьютерных вирусов и троянских программ (так называемые "конструкторы");
программные библиотеки, разработанные для создания вредоносного ПО;
хакерские утилиты сокрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов).

Программы-шпионы (spyware)
Программное обеспечение, использование которого может нанести вред информации пользователя. Под термином "spyware" в подавляющем большинстве случаев подразумевается целое семейство программ, в которое входят программы дозвона, утилиты для закачивания файлов из интернета, различные серверы (FTP, Proxy, Web, Telnet), IRC-клиенты, средства мониторинга, PSW-утилиты, средства удаленного администрирования, программы-шутки. Иногда в семейство spyware включают еще и рекламные коды (adware), которые могут демонстрировать рекламные сообщения, подставлять, изменять результаты поиска и любыми доступными способами продвигать рекламируемый сайт. Если подходить к терминологической проблеме академически, то все перечисленные выше типы программ следует называть "riskware". На русском языке это слово означает "условно опасные программы" - то есть такие, которые могут причинить вред информации пользователя.

*Dizzi* · 07.05.2007, 06:42

КириллK,
С мануала по Касперскому что ли скопировал?гг
Не забываем юзать тег [cut=произвольный текст] **спрятанный текст**[/cut]
Извени но читать бОяны на пол страницы не впечатляет

КириллK · 07.05.2007, 09:23

Цитата:

Сообщение от Dizzi


	КириллK, С мануала по Касперскому что ли скопировал?гг Не забываем юзать тег [cut=произвольный текст] спрятанный текст[/cut] Извени но читать бОяны на пол страницы не впечатляет

Нет не угадали, не из Касперского. Я точно не помьню откуда, но точно не из Каспера, помоему, если мне не изменяет память с какого то форума,
точно не помню. Но если надо могу вспомнить.

igorvsimonof · 15.06.2007, 17:40

Кто-нибудь сталкивался с Trojan.Recycle???

создает папку Recycled в которой есть файл cftmon.exe собственно сам вирус

а autorun.inf следующего содержания

[autorun]
shellexecute=Recycled\ctfmon.exe
shell\Open(&0)\command=Recycled\ctfmon.exe
shell=Open(&0)

при открытии папки, в которой сидит данный вирус комп заражается...

А что он делает???

dinazawur · 16.07.2007, 06:43

Win32_Agent.AEC
после очистки не работают абсолютно все ехе файлы, заходим в папку Windows находим файл Regedit.exe переименовываем в Regedit.com
редактируем реестр путь HKEY_Classes_root\exefile\shell\open Нестандартный ключ Shell\Open для "exefile": "soundmix "%1" %*" просто удаляем soundmix и усе работает
данный троян создает себя под именем
C:\windows\system32\soundmix.exe
C:\WINDOWS\system32\dllcache\zipexr.dll
и соответственно при запуске ехе файлов прописывает их через себя

THunderHead · 11.10.2007, 08:22

Из техподовского опыта.
В локалке с ВПНкой и часто встречал тему когда у пользователей слетали настройки%) Выдаёт ошибку 678 ,иногда 691. Номер телефона становился 8,, и тд. Можно конечно написать самостоятельно как решать ету проблему, но тут на Каспере есть описание:
http://www.viruslist.com/ru/viruses/...virusid=109170
Палится он элементарно ... в процессах присутствует itunesff. Говорят бывает что процесс называется fsb , но я ни разу не видел такого.

13.11.2006, 23:15	#16
PcKill ViP Пол: Регистрация: 17.05.2006 Адрес: Молдова Сообщений: 199 Репутация: 1274	Re: Описание вирусов Win32.HLLM.Perf (Email-Worm.Win32.Bagle.fw, Email-Worm.Win32.Scano.d, Email-Worm.Win32.Scano.e, Email-Worm.Win32.Scano.f, Email-Worm.Win32.Scano.h, Email-Worm.Win32.Scano.j, Exploit, Hoax-LocalIFrame, I-Worm/Generic.IT, New Malware.aj, PSW.Ldpinch.AWF, TSPY_LDPINCH.IT, Trojan-PSW.Win32.LdPinch.hk, Trojan.Agent.IE, Trojan.Bagle.F, Trojan.Pinch.A@m, Trojan.Win32.Inject.z, WORM_ARESES.B, [email protected], Win32.Scano.H@mm, Win32/Areses.D, Win32/Areses.D!Trojan, Win32/Kipis!generic, Worm/Generic.NB, Worm/Generic.NK) подробнее Тип вируса: Почтовый червь массовой рассылки Уязвимые ОС: Win95/98/Me/NT/2000/XP Размер файла: 17 872 байт Упакован: Нет Техническая информация Распространяется по электронной почте в виде вложения. Подделывает адрес отправителя. Варианты тем для писем: Привет,какие новости? Ты сегодня ко мне приедешь? Я тебя сегодня видела? Варианты тел писем: Приветик, как у тебя дела?... Ты сегодня в интернете будешь? Напиши мне в аську, окей? Кстати документы которые тебе нужны в архиве тебе выслала, пока) Ксюха Привет, я сегодня тебя жду в гости, позвони мне перед тем как ехать... Кстати, в архиве я запоковала необходимые тебе документы... Там все сам поймешь, пока. Жду! Привет, шла по улице и видела тебя, а ты меня даже не заметил... ладно не обиделась... Держи архив с документом, позвоним не сегодня, пока. В качестве вложения создается .cab архив, в котором находится дроппер основного тела вируса. Имя файла в архиве начинается на "new", "me","you","cool" или "Re" и имеет двойное расширение. Первое из списка: ".doc", ".txt",".avi", ".mpeg", а второе " .cpl". Пример: "me.doc .cpl" внутри архива me.cab Запуск вируса. Копирует себя в системную папку с именем %systemroot%\csrss.exe (настоящий csrss.exe находится в %systemroot%\system32\csrss.exe) Свою автозагрузку при старте системы обеспечивает записью в реестре: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe Debugger = "C:\WINDOWS\csrss.exe" Запускает дополнительные процессы services.exe и svchost.exe. В них он внедряет код, который поддерживает запись автозагрузки в реестре и целостность своего носителя csrss.exe. Если тело вируса будет удалено, то тут же будет восстановлено из копии, которая хранится в памяти инфицированного процесса services.exe. При этом имитируется срабатывание "Защиты файлов Windows" Основная часть вируса в процессе svchost.exe сканирует все доступные диски в поисках почтовых адресов для рассылки. Для этого он использует файлы со следующими расширениями: .adb, .asp, .cfg, .cgi .mra, .dbx, .dhtm, .eml, .htm, .html, .jsp, .mbx, .mdx, .mht, .mmf, .msg, .nch, .ods, .oft, .php, .pl, .sht, .shtm, .stm, .tbb, .txt, .uin, .wab, .wsh, .xls, .xml, .dhtml Извлекаемые адреса не должны содержать подстрок: "@example." "Mailer-Daemon@" "-0" "2003" "@subscribe" ".00" "2004" "kasp" "@." "2005" "admin" "---" "2006" "icrosoft" "abuse" "@hotmail" "support" "panda" "@msn" "ntivi" "cafee" "@microsoft" "unix" "spam" "rating@" "bsd" "pgp" "f-secur" "linux" "@avp." "news" "listserv" "noreply" "update" "certific" "local" ".qmail" "torvalds@" "root@" ".gif" "sopho" "postmaster@" "anyone@" "@foo" ".0" "bugs@" "@iana" ".1" "contract@" "free-av" ".2" "feste" "@messagelab" ".3" "gold-certs@" "winzip" ".4" "help@" "google" ".5" "info@" "winrar" ".6" "nobody@" "samples" ".7" "noone@" "spm111@" ".8" "0000" ".." ".9" Действия. При старте пытается скачать и исполнить непосредственно .exe файл http: // 85.249.23.43 / 0.exe или получить зашифрованный список адресов для дальнейшего скачивания: http: // 85.249.23.35/m2/ g.php http: // 207.46.250.119/g/ m.php http: // 84.22.161.192/s/ f.php В случае обнаружения виртуальной машины вирус открывает сайт www.na&ltcensored&gtuy.com и завершает свою работу. Рекомендации по восстановлению системы а) Необходимо скачать Dr.Web CureIt. б) Отключить компьютер от локальной сети и/или Интернет. в) Перезагрузить систему в "Безопасный режим с поддержкой командной строки" (клавиша F8 при старте системы). г) Набрать в командной строке и выполнить следующую команду: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe" /v Debugger /f д) Перезагрузить систему. е) Запустить утилиту Dr.Web CureIt, либо, если имеется, антивирусный дисковый сканер. Проверяемая директория - %SystemRoot% (по умолчанию С:\WINDOWS). Действие для объектов зараженных Win32.HLLM.Perf - удалить. Модификация Win32.HLLM.Perf от 06.09.2006 Распространяется в виде письма с вложением в виде .hta файла При запуске .hta в корневом каталоге создаётся .EXE-файл (21 262 байта), который запускается на исполнение. Копирует себя в системную папку с именем %systemroot%\csrss.exe (настоящий csrss.exe находится в %systemroot%\system32\csrss.exe) Свою автозагрузку при старте системы обеспечивает записью в реестре: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe Debugger = "C:\WINDOWS\csrss.exe" Запускает дополнительные процессы services.exe и svchost.exe. В них он внедряет код, который поддерживает запись автозагрузки в реестре и целостность своего носителя csrss.exe. Если тело вируса будет удалено, то тут же будет восстановлено из копии, которая хранится в памяти инфицированного процесса services.exe. При этом имитируется срабатывание "Защиты файлов Windows". Имя вложения может быть следующим: Message File Document README Passwords Readme Important New COOL Archive Fotos private confidential secret images your_documents backup Варианты темы письма: Hi, what's up? He, where are you? Hi, drop me a line!!! Hi! Please write to me urgently! Hi! I'm waiting you online today! Will you be online today? When you're gonna answer me? Re: write to me! Re: Call me! Re: Where are you? Re: When you're gonna answer me? Hi!!! How's the mood? Re: How's the mood? Re: Where have you been? Тело письма может содержать следующий текст: Hi!!!!! You haven't been writing for a long time. I began to worry) Where have you been? You remember, you've asked a progy from me? I've finally found it, so here it is. Check it out if this is what you've been looking for... bye Hi, what's up? Will you show up online today?Drop me a line in ICQ, ok? Btw, I'm sending you the docs you've been looking for, find them attached. Check them out, ok? Hi! I'm coming to you tomorrow, ok? When you are going to be home? You remember, you've asked some docs. Please find them attached. Check and see what's inside. That's it. Bye, till tomorrow... Hi! You disappeared again. If you come online, drop me a line, ok?Btw, I sent you those docs that you've been looking for. Check them out. Bye! Hi, give me a call just when you got the message! I'm tired of waiting. Btw, I'm sending that program that you've been looking for. Check it out. Appears to be that one. Bye! Hi, what's up? If you have time tomorrow, please come over. After midday. By the way, don't forget to check the enclosed documents. Bye. See you tomorrow. Hi, I got a free day tomorrow, and I'm waiting for you. Please come after midday. By the way, I'm sending you the documents that you've been asking for. Read them out... Bye! Hi, how are you? What are your plans today? If you have time, please come over, and don't forget to check the program attached. Bye! Hi, what's you gonna do today? I'll come over tonight! By the way, don't give anyone this funny program I'm sending. Check it out. Bye! Hi, I found that program you asked for. Find it attached. Bye. Hi, I saw you around today, but you didn't noticed me ( If you're gonna be at home, give a call, ok? By the way, check this file I'm sending. A very interesting program...What's up! You haven't been writing for a long time… I got news. I've finally that program you needed… I'm sending it out. Use it. Bye! Hi, drop me a line today, ok? And see the program I'm sending. Bye! Hi, drop me a line if you can. Btw, I have a new ICQ. Please don't forget to check the attached documents. Bye. Hi! How are you? Drop me a line if you can. I found your documents and I'm emailing them to you. Bye. Вирус создаёт файлы для распространения по файлообменным сетям, присваивая им расширения .pif, .scr или .exe: Sex and more.rtf 3D Studio Max 6 3dsmax ACDSee 10 full Adobe Photoshop 10 full Adobe Premiere 10 Ahead Nero 8 Altkins Diet.doc American Idol.doc Arnold Schwarzenegger.jpg Best Matrix Screensaver new Britney sex xxx.jpg Britney Spears and Eminem porn.jpg Britney Spears blowjob.jpg Britney Spears cumshot.jpg Britney Spears fuck.jpg Britney Spears full album.mp3 Britney Spears porn.jpg Britney Spears Sexy archive.doc Britney Spears Song text archive.doc Britney Spears.jpg Britney Spears.mp3 Clone DVD 6 Cloning.doc Cracks & Warez Archiv Dark Angels new Dictionary English 2004 - France.doc DivX 8.0 final Doom 3 release 2 E-Book Archive2.rtf Eminem blowjob.jpg Eminem full album.mp3 Eminem Poster.jpg Eminem sex xxx.jpg Eminem Sexy archive.doc Eminem Spears porn.jpg Eminem.mp3 Full album all.mp3 Gimp 1.8 Full with Key Harry Potter 1-6 book.txt Harry Potter 5.mpg Harry Potter all e.book.doc Harry Potter e book.doc Harry Potter game Harry Potter.doc Harry Potter and the Sorcerer's Stone game How to hack new.doc Internet Explorer 9 setup Kazaa Lite 4.0 new Kazaa new Keygen 4 all new Learn Programming 2004.doc Lightwave 9 Update Magix Video Deluxe 5 beta Matrix 3 .mpg Microsoft Office 2003 Crack best Microsoft WinXP Crack full MS Service Pack 6 source code Norton Antivirus 2005 beta Opera 11 free Partitionsmagic 10 beta Porno Screensaver britney RFC compilation.doc Ringtones.doc Nostradamus.doc World Trade Center last video.mpeg anthrax.doc Osama Bin Laden.jpg Taliban Osama bin Laden.mpg Yellow Pages Ringtones.mp3 Saddam Hussein.jpg Screensaver2 Serials edition.txt Smashing the stack full.rtf Star Office 9 Teen Porn 15.jpg The Sims 4 beta Ulead Keygen 2004 Visual Studio Net Crack all Vista review.doc WinAmp 13 full with sources Windows Vista Sourcecode.doc Windows 2003 crack Windows XP crack WinXP eBook newest.doc XXX hardcore pics.jpg в каталогах, содержащих подстроки: bear donkey download ftp htdocs http icq kazaa lime morpheus mule shar source upload pub Для своей расслыки по электронной почте ищет адреса, просматривая файлы со следующими расширениями: .adb .asp .cfg .cgi .mra .dbx .dhtm .eml .htm .html .jsp .mbx .mdx .mht .mmf .msg .nch .ods .oft .php .pl .sht .shtm .stm .tbb .txt .uin .wab .wsh .xls .xml .dhtml Не рассылает свои копии, если почтовый адрес содержит следующие подстроки: @microsoft rating@ f-secur news update .qmail .gif anyone@ bugs@ contract@ feste gold-certs@ help@ info@ nobody@ noone@ 0000 Mailer-Daemon@ @subscribe kasp admin icrosoft support ntivi unix bsd linux listserv certific torvalds@ sopho @foo @iana free-av @messagelab winzip google winrar samples spm111@ .. -0 .00 @. --- abuse panda cafee spam pgp @avp. noreply local root@ postmaster@ .0 .1 .2 .3 .4 .5 .6 .7 .8 .9 Пытается получить зашифрованный список адресов для дальнейшего скачивания hxxp://xeseretuo.com/m2/g.php hxxp://81.95.146.155/gt5/ugk.php hxxp://81.95.146.155/hu/s2.php Последний раз редактировалось Dizzi; 07.05.2007 в 06:34..

13.11.2006, 23:18	#17
PcKill ViP Пол: Регистрация: 17.05.2006 Адрес: Молдова Сообщений: 199 Репутация: 1274	Re: Описание вирусов Win32.HLLM.Beagle (Download.Trojan, Email-Worm.Win32.Bagle.bu, Email-Worm.Win32.Bagle.et, Email-Worm.Win32.Bagle.pac, I-Worm/Bagle, New Malware, New or modified variant of Bagle, TROJ_DLOADER.BDD, Trojan-Downloader.Win32.Bagle.n, Trojan.Mitglieder, W32.Beagle.gen, W32/Bagle, W32/Bagle.dldr.gen, W32/Bagle.gen, WORM_BAGLE.BX, WORM_Bagle.GEN, Win32.Bagle.EN@mm, Win32/Bagle.DD, Win32/Bagle.DD!Worm, Win32/Bagle.Variant!Worm, Win32/Mitglieder.3058!DLL!Trojan, Win32/Mitglieder.CZ!Trojan, Win32/SillyDL.Trac!Trojan, Worm.Bagle.CD-2) Добавлен в вирусную базу Dr.Web®: 2006-06-20 18:58:15 Тип вируса: Почтовый червь массовой рассылки подробнее Уязвимые ОС: Win95/98/Me/NT/2000/XP Размер файла: 69 842 байт, 85 508 байт Упакован: PECRYPT Техническая информация Распространяется по электронной почте. Вложение представляет собой защищённый паролем ZIP-архив для затруднения его обнаружения антивирусными программами. Для того, чтобы неосторожный пользователь мог извлечь содержимое архива, пароль указывается в графическом файле: [случайное имя].gif. При своём запуске прописывает себя в автозагрузку в реестре: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run "drv_st_key" = "%UserProfile%\Application Data\hidn\hidn1.exe" Запрещает загрузку в SafeMode: удаляет ветвь реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot При первом запуске показывает картинку "Error" Имя вложения выбирается из списка: Elizabeth Elizabethe Anne Ann Anna Anne Annes Mary Marie Marye Margaret Margaret Margarett Margerie Margerye Margret Margrett Sara Dorothy Dorithie Dorothee Jane Katherine Katherine Katheryne Susanna Susanna Suzanna Francis Frances Fraunces Joane Judith Judeth Judith Judithe Alice Ales Alice Alyce Ellen Ellen Ellyn Grace Isabell Isabel Isabell Martha Susan Winifred Wynefreed Wynefrede Wynnefreede Avis Avis Avice Bennet Bennet Bennett Christian Christian Christean Constance Cybil Sybell Sybyll Ester Rebecka Rose Sidney Sindony Syndony John John Johen Thomas William Richard Richarde Richard Rycharde Robert Roberte Robert George Edward Edwarde Edward Nicholas Nicholas Nycholas Nicholaus James Jeames James Henry Henrie Henry Henrye Edmund Edmonde Edmond Edmund Harry Harrye Harry Anthony Anthonye Anthonie Roger Peter Nathaniel Nathaniell Nathaniel Nathanyell Stephen Jeffrey Jeffrye Geoffraie Francis Andrew Androw Androwe Valentyne Samuell Ralph Michael Michael Mychaell Leonard Leonard Leonarde Josias Humphrey Humphrey Humphrie Hughe Gabriell Emanual Emanuell Emanuel Daniel Daniel Danyell Тело сообщения содержит текст: To the beloved I love you Адреса для своего дальнейшего распространения ищет в файлах с такими расширениями: .wab .txt .msg .htm .shtm .stm .xml .dbx .mbx .mdx .eml .nch .mmf .ods .cfg .asp .php .pl .wsh .adb .tbb .sht .xls .oft .uin .cgi .mht .dhtm .jsp Содержит rootkit-компоненту (Файл m_hook.sys. Размер - 15 360 байт) для сокрытия своих процесса, файлов, а также ветвей реестра. Создаёт папку hidn с атрибутом "Скрытый" в C:\Documents and Settings\%USERPROFILE%\Application Data\, в которую помещает непосредственно исполняемый файл и rootkit-компоненту. Не рассылает свои копии, если в адресе встречаются следующие подстроки: rating@ f-secur news update anyone@ bugs@ contract@ feste gold-certs@ help@ info@ nobody@ noone@ kasp admin icrosoft support ntivi unix bsd linux listserv certific sopho @foo @iana free-av @messagelab winzip google winrar samples abuse panda cafee spam pgp @avp. noreply local root@ postmaster@ Червь содержит деструктивные функции: удаляет процессы, принадлежащие различным системам компьютерной безопасности, а также останавливает службы. Процессы, которые вирус завершает и, по возможности, удаляет с диска: a2guard.exe aavshield.exe AckWin32.exe ADVCHK.EXE AhnSD.exe airdefense.exe ALERTSVC.EXE ALMon.exe ALOGSERV.EXE ALsvc.exe amon.exe Anti-Trojan.exe AntiVirScheduler AntiVirService ANTS.EXE APVXDWIN.EXE Armor2net.exe ashAvast.exe ashDisp.exe ashEnhcd.exe ashMaiSv.exe ashPopWz.exe ashServ.exe ashSimpl.exe ashSkPck.exe ashWebSv.exe aswUpdSv.exe ATCON.EXE ATUPDATER.EXE ATWATCH.EXE AUPDATE.EXE AUTODOWN.EXE AUTOTRACE.EXE AUTOUPDATE.EXE avciman.exe Avconsol.exe AVENGINE.EXE avgamsvr.exe avgcc.exe AVGCC32.EXE AVGCTRL.EXE avgemc.exe avgfwsrv.exe AVGNT.EXE avgntdd avgntmgr AVGSERV.EXE AVGUARD.EXE avgupsvc.exe avinitnt.exe AvkServ.exe AVKService.exe AVKWCtl.exe AVP.EXE AVP32.EXE avpcc.exe avpm.exe AVPUPD.EXE AVSCHED32.EXE avsynmgr.exe AVWUPD32.EXE AVWUPSRV.EXE AVXMONITOR9X.EXE AVXMONITORNT.EXE AVXQUAR.EXE BackWeb-4476822.exe bdmcon.exe bdnews.exe bdoesrv.exe bdss.exe bdsubmit.exe bdswitch.exe blackd.exe blackice.exe cafix.exe ccApp.exe ccEvtMgr.exe ccProxy.exe ccSetMgr.exe CFIAUDIT.EXE ClamTray.exe ClamWin.exe Claw95.exe Claw95cf.exe cleaner.exe cleaner3.exe CliSvc.exe CMGrdian.exe cpd.exe DefWatch.exe DOORS.EXE DrVirus.exe drwadins.exe drweb32w.exe drwebscd.exe DRWEBUPW.EXE ESCANH95.EXE ESCANHNT.EXE ewidoctrl.exe EzAntivirusRegistrationCheck.exe F-AGNT95.EXE F-PROT95.EXE F-Sched.exe F-StopW.EXE FAMEH32.EXE FAST.EXE FCH32.EXE FireSvc.exe FireTray.exe FIREWALL.EXE fpavupdm.exe freshclam.exe FRW.EXE fsav32.exe fsavgui.exe fsbwsys.exe fsdfwd.exe FSGK32.EXE fsgk32st.exe fsguiexe.exe FSM32.EXE FSMA32.EXE FSMB32.EXE fspex.exe fssm32.exe gcasDtServ.exe gcasServ.exe GIANTAntiSpywareMain.exe GIANTAntiSpywareUpdater.exe GUARD.EXE GUARDGUI.EXE GuardNT.exe HRegMon.exe Hrres.exe HSockPE.exe HUpdate.EXE iamapp.exe iamserv.exe ICLOAD95.EXE ICLOADNT.EXE ICMON.EXE ICSSUPPNT.EXE ICSUPP95.EXE ICSUPPNT.EXE IFACE.EXE INETUPD.EXE InocIT.exe InoRpc.exe InoRT.exe InoTask.exe InoUpTNG.exe IOMON98.EXE isafe.exe ISATRAY.EXE ISRV95.EXE ISSVC.exe JEDI.EXE KAV.exe kavmm.exe KAVPF.exe KavPFW.exe KAVStart.exe KAVSvc.exe KAVSvcUI.EXE KMailMon.EXE KPfwSvc.EXE KWatch.EXE livesrv.exe LOCKDOWN2000.EXE LogWatNT.exe lpfw.exe LUALL.EXE LUCOMSERVER.EXE Luupdate.exe MCAGENT.EXE mcmnhdlr.exe mcregwiz.exe Mcshield.exe MCUPDATE.EXE mcvsshld.exe MINILOG.EXE MONITOR.EXE MonSysNT.exe MOOLIVE.EXE MpEng.exe mpssvc.exe MSMPSVC.exe myAgtSvc.exe myagttry.exe navapsvc.exe NAVAPW32.EXE NavLu32.exe NAVW32.EXE NDD32.EXE NeoWatchLog.exe NeoWatchTray.exe NISSERV NISUM.EXE NMAIN.EXE nod32.exe nod32krn.exe nod32kui.exe NORMIST.EXE notstart.exe npavtray.exe NPFMNTOR.EXE npfmsg.exe NPROTECT.EXE NSCHED32.EXE NSMdtr.exe NssServ.exe NssTray.exe ntrtscan.exe NTXconfig.exe NUPGRADE.EXE NVC95.EXE Nvcod.exe Nvcte.exe Nvcut.exe NWService.exe OfcPfwSvc.exe OUTPOST.EXE PAV.EXE PavFires.exe PavFnSvr.exe Pavkre.exe PavProt.exe pavProxy.exe pavprsrv.exe pavsrv51.exe PAVSS.EXE pccguide.exe PCCIOMON.EXE pccntmon.exe PCCPFW.exe PcCtlCom.exe PCTAV.exe PERSFW.EXE pertsk.exe PERVAC.EXE PNMSRV.EXE POP3TRAP.EXE POPROXY.EXE prevsrv.exe PsImSvc.exe QHM32.EXE QHONLINE.EXE QHONSVC.EXE QHPF.EXE qhwscsvc.exe RavMon.exe RavTimer.exe Realmon.exe REALMON95.EXE Rescue.exe rfwmain.exe Rtvscan.exe RTVSCN95.EXE RuLaunch.exe SAVAdminService.exe SAVMain.exe savprogress.exe SAVScan.exe SCAN32.EXE ScanningProcess.exe sched.exe sdhelp.exe SERVIC~1.EXE SHSTAT.EXE SiteCli.exe smc.exe SNDSrvc.exe SPBBCSvc.exe SPHINX.EXE spiderml.exe spidernt.exe Spiderui.exe SpybotSD.exe SPYXX.EXE SS3EDIT.EXE stopsignav.exe swAgent.exe swdoctor.exe SWNETSUP.EXE symlcsvc.exe SymProxySvc.exe SymSPort.exe SymWSC.exe SYNMGR.EXE TAUMON.EXE TBMon.exe TC.EXE tca.exe TCM.EXE TDS-3.EXE TeaTimer.exe TFAK.EXE THAV.EXE THSM.EXE Tmas.exe tmlisten.exe Tmntsrv.exe TmPfw.exe tmproxy.exe TNBUtil.exe TRJSCAN.EXE Up2Date.exe UPDATE.EXE UpdaterUI.exe upgrepl.exe Vba32ECM.exe Vba32ifs.exe vba32ldr.exe Vba32PP3.exe VBSNTW.exe vchk.exe vcrmon.exe VetTray.exe VirusKeeper.exe VPTRAY.EXE vrfwsvc.exe VRMONNT.EXE vrmonsvc.exe vrrw32.exe VSECOMR.EXE Vshwin32.exe vsmon.exe vsserv.exe VsStat.exe WATCHDOG.EXE WebProxy.exe Webscanx.exe WEBTRAP.EXE WGFE95.EXE Winaw32.exe winroute.exe winss.exe winssnotify.exe WRADMIN.EXE WRCTRL.EXE xcommsvr.exe zatutor.exe ZAUINST.EXE zlclient.exe zonealarm.exe _AVP32.EXE _AVPCC.EXE _AVPM.EXE Отключаемые червём службы: wuauserv Aavmker4 ABVPN2K ADBLOCK.DLL ADFirewall AFWMCL Ahnlab task Scheduler alerter AlertManger AntiVir Service AntiyFirewall ARP.DLL aswMon2 aswRdr aswTdi aswUpdSv Ati HotKey Poller avast! Antivirus avast! Mail Scanner avast! Web Scanner AVEService AVExch32Service AvFlt Avg7Alrt Avg7Core Avg7RsW Avg7RsXP Avg7UpdSvc AvgCore AvgFsh AVGFwSrv AvgFwSvr AvgServ AvgTdi AVIRAMailService AVIRAService avpcc AVUPDService AVWUpSrv AvxIni awhost32 backweb client - 4476822 BackWeb Client - 7681197 backweb client-4476822 Bdfndisf bdftdif bdss BlackICE BsFileSpy BsFirewall BsMailProxy CAISafe ccEvtMgr ccPwdSvc ccSetMgr ccSetMgr.exe CONTENT.DLL DefWatch DNSCACHE.DLL drwebnet dvpapi dvpinit ewido security suite control ewido security suite driver ewido security suite guard F-Prot Antivirus Update Monitor F-Secure Gatekeeper Handler Starter firewall fsbwsys FSDFWD FSFW FSMA FTPFILT.DLL FwcAgent fwdrv Guard NT HSnSFW HSnSPro HTMLFILT.DLL HTTPFILT.DLL IMAPFILT.DLL noRPC InoRT InoTask Ip6Fw Ip6FwHlp KAVMonitorService KAVSvc KLBLMain KPfwSvc KWatch3 KWatchSvc MAILFILT.DLL McAfee Firewall McAfeeFramework McShield McTaskManager mcupdmgr.exe MCVSRte Microsoft NetWork FireWall Services MonSvcNT MpfService navapsvc Ndisuio NDIS_RD Network Associates Log Service nipsvc NISSERV NISUM NNTPFILT.DLL NOD32ControlCenter NOD32krn NOD32Service Norman NJeeves Norman Type-R Norman ZANDA Norton AntiVirus Server NPDriver NPFMntor NProtectService NSCTOP nvcoas NVCScheduler nwclntc nwclntd nwclnte nwclntf nwclntg nwclnth NWService OfcPfwSvc Outbreak Manager Outpost Firewall OutpostFirewall PASSRV PAVAGENTE PavAtScheduler PAVDRV PAVFIRES PAVFNSVR Pavkre PavProc PavProt PavPrSrv PavReport PAVSRV PCCPFW PCC_PFW PersFW Personal Firewall POP3FILT.DLL PREVSRV PROTECT.DLL PSIMSVC qhwscsvc wscsvc Quick Heal Online Protection ravmon8 RfwService SAVFMSE SAVScan SBService schscnt SECRET.DLL SharedAccess SmcService SNDSrvc SPBBCSvc SpiderNT SweepNet SWEEPSRV.SYS Symantec AntiVirus Client Symantec Core LC The_Hacker_Antivirus Tmntsrv TmPfw tmproxy tmtdi tm_cfw T_H_S_M V3MonNT V3MonSvc Vba32ECM Vba32ifs Vba32Ldr Vba32PP3 VBCompManService VexiraAntivirus VFILT VisNetic AntiVirus Plug-in vrfwsvc vsmon VSSERV WinAntivirus WinRoute wuauserv xcomm Empty Червь блокирует запуск regedt32.exe и regedit.exe Для проверки обновлений своих модулей предпринимает попытки осуществлять соединение с веб-сайтами, список которых хранится в теле червя. hxxp://www.titanmotors.com/images/1/eml.php hxxp://veranmaisala.com/1/eml.php hxxp://wklight.nazwa.pl/1/eml.php hxxp://yongsan24.co.kr/1/eml.php hxxp://accesible.cl/1/eml.php hxxp://hotelesalba.com/1/eml.php hxxp://amdlady.com/1/eml.php hxxp://inca.dnetsolution.net/1/eml.php hxxp://www.auraura.com/1/eml.php hxxp://avataresgratis.com/1/eml.php hxxp://beyoglu.com.tr/1/eml.php hxxp://brandshock.com/1/eml.php hxxp://www.buydigital.co.kr/1/eml.php hxxp://camaramafra.sc.gov.br/1/eml.php hxxp://camposequipamentos.com.br/1/eml.php hxxp://cbradio.sos.pl/1/eml.php hxxp://c-d-c.com.au/1/eml.php hxxp://www.klanpl.com/1/eml.php hxxp://coparefrescos.stantonstreetgroup.com/1/eml.php hxxp://creainspire.com/1/eml.php hxxp://desenjoi.com.br/1/eml.php hxxp://www.inprofile.gr/1/eml.php hxxp://www.diem.cl/1/eml.php hxxp://www.discotecapuzzle.com/1/eml.php hxxp://ujscie.one.pl/777.gif hxxp://1point2.iae.nl/777.gif hxxp://appaloosa.no/777.gif hxxp://apromed.com/777.gif hxxp://arborfolia.com/777.gif hxxp://pawlacz.com/777.gif hxxp://areal-realt.ru/777.gif hxxp://bitel.ru/777.gif hxxp://yetii.no-ip.com/777.gif hxxp://art4u1.superhost.pl/777.gif hxxp://www.artbed.pl/777.gif hxxp://art-bizar.foxnet.pl/777.gif hxxp://www.jonogueira.com/777.gif hxxp://asdesign.cz/777.gif hxxp://ftp-dom.earthlink.net/777.gif hxxp://www.aureaorodeley.com/777.gif hxxp://www.autoekb.ru/777.gif hxxp://www.autovorota.ru/777.gif hxxp://avenue.ee/777.gif hxxp://www.avinpharma.ru/777.gif hxxp://ouarzazateservices.com/777.gif hxxp://stats-adf.altadis.com/777.gif hxxp://bartex-cit.com.pl/777.gif hxxp://bazarbekr.sk/777.gif hxxp://gnu.univ.gda.pl/777.gif hxxp://bid-usa.com/777.gif hxxp://biliskov.com/777.gif hxxp://biomedpel.cz/777.gif hxxp://blackbull.cz/777.gif hxxp://bohuminsko.cz/777.gif hxxp://bonsai-world.com.au/777.gif hxxp://bpsbillboards.com/777.gif hxxp://cadinformatics.com/777.gif hxxp://canecaecia.com/777.gif hxxp://www.castnetnultimedia.com/777.gif hxxp://compucel.com/777.gif hxxp://continentalcarbonindia.com/777.gif hxxp://ceramax.co.kr/777.gif hxxp://prime.gushi.org/777.gif hxxp://www.chapisteriadaniel.com/777.gif hxxp://charlesspaans.com/777.gif hxxp://chatsk.wz.cz/777.gif hxxp://www.chittychat.com/777.gif hxxp://checkalertusa.com/777.gif hxxp://cibernegocios.com.ar/777.gif hxxp://5050clothing.com/777.gif hxxp://cof666.shockonline.net/777.gif hxxp://comaxtechnologies.net/777.gif hxxp://concellodesandias.com/777.gif hxxp://www.cort.ru/777.gif hxxp://donchef.com/777.gif hxxp://www.crfj.com/777.gif hxxp://kremz.ru/777.gif hxxp://dev.jintek.com/777.gif hxxp://foxvcoin.com/777.gif hxxp://uwua132.org/777.gif hxxp://v-v-kopretiny.ic.cz/777.gif hxxp://erich-kaestner-schule-donaueschingen.de/777.gif hxxp://vanvakfi.com/777.gif hxxp://axelero.hu/777.gif hxxp://kisalfold.com/777.gif hxxp://vega-sps.com/777.gif hxxp://vidus.ru/777.gif hxxp://viralstrategies.com/777.gif hxxp://svatba.viskot.cz/777.gif hxxp://Vivamodelhobby.com/777.gif hxxp://vkinfotech.com/777.gif hxxp://vytukas.com/777.gif hxxp://waisenhaus-kenya.ch/777.gif hxxp://watsrisuphan.org/777.gif hxxp://www.ag.ohio-state.edu/777.gif hxxp://wbecanada.com/777.gif hxxp://calamarco.com/777.gif hxxp://vproinc.com/777.gif hxxp://grupdogus.de/777.gif hxxp://knickimbit.de/777.gif hxxp://dogoodesign.ch/777.gif hxxp://systemforex.de/777.gif hxxp://zebrachina.net/777.gif hxxp://www.walsch.de/777.gif hxxp://hotchillishop.de/777.gif hxxp://innovation.ojom.net/777.gif hxxp://massgroup.de/777.gif hxxp://web-comp.hu/777.gif hxxp://webfull.com/777.gif hxxp://welvo.com/777.gif hxxp://www.ag.ohio-state.edu/777.gif hxxp://poliklinika-vajnorska.sk/777.gif hxxp://wvpilots.org/777.gif hxxp://www.kersten.de/777.gif hxxp://www.kljbwadersloh.de/777.gif hxxp://www.voov.de/777.gif hxxp://www.wchat.cz/777.gif hxxp://www.wg-aufbau-bautzen.de/777.gif hxxp://www.wzhuate.com/777.gif hxxp://zsnabreznaknm.sk/777.gif hxxp://xotravel.ru/777.gif hxxp://ilikesimple.com/777.gif hxxp://yeniguntugla.com/777.gif Последний раз редактировалось Dizzi; 07.05.2007 в 06:35..

13.11.2006, 23:19	#18
PcKill ViP Пол: Регистрация: 17.05.2006 Адрес: Молдова Сообщений: 199 Репутация: 1274	Re: Описание вирусов Win32.HLLM.Netsky.35328 W32.Netsky.P@mm, W32.Netsky.P@mm!enc, W32.Netsky.Q@mm, W32.Netsky.dam, W32/Cabanas, W32/Netsky.dam, W32/Netsky.p.eml!exe, W32/Netsky.p@MM, W32/Netsky.p@MM!zip, WORM_NETSKY.DAM, WORM_NETSKY.P, WORM_NETSKY.Q, WORM_Netsky.Dam, Win32/NetSky.P!Corrupted!Trojan, Win32/Netsky.P!Worm, Win32/Netsky.P.ZIP!Trojan, WinNT/Cabanas.B, application Exploit-MIME.gen.c) Добавлен в вирусную базу Dr.Web®: 2004-03-22 13:20:00 Тип вируса: узнай больше Почтовый червь массовой рассылки Уязвимые ОС: Win95/98/Me/NT/2000/XP Размер файла: 29 568 байт Упакован: FSG Техническая информация Распространяется по электронной почте, используя собственную реализацию SMTP протокола. Для обеспечения своей постоянной работы вносит в секцию автозагрузки реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run запись "Norton Antivirus AV" = %WinDir%\FVProtect.exe. Создает семафор ”_-oO]xX\|-S-k-y-N-e-t-\|Xx[Oo-_” Копирует в %WinDir% файлы userconfig9x.dll, base64.tmp, zip1.tmp, zip2.tmp, zip3.tmp, zipped.tmp. Для своего распространения сканирует локальные диски компьютера, просматривая в поиске адресов файлы с такими расширениями: .pl .htm .html .eml .txt .php .asp .wab .doc .vbs .rtf .uin .shtm .cgi .dhtm .adb .tbb .dbx .sht .oft .msg .jsp .wsh .xml Тема сообщения выбирается из списка: You were registered to the pay system. Can you confirm it? Is that your password? Re: Is that your document? all_doc01 document04 about_you your_document Please read the attached file. Re: Your document Re: Approved document Encrypted_msg01 pgp_sess01 Protected message is attached. Encrypted message is available. Mail Authentication Protected Mail System Please confirm my request readme msg Re: Encrypted Mail Re: Extended Mail Re: Status Re: Notify Re: SMTP Server Re: Mail Server Re: Delivery Server Re: Bad Request Re: Failure Re: Thank you for delivery Re: Test Re: Administration Re: Message Error Re: Error Re: Extended Mail System Re: Secure SMTP Message Re: Protected Mail Request Re: Protected Mail System Re: Protected Mail Delivery Re: Secure delivery Re: Delivery Protection Re: Mail Authentification Имя вложения выбирается из списка: text message data excel document screensaver word document bill information details file document application website product letter Червь обладает способностью распространяться по файлообменным сетям. Для этого он сканирует локальные диски на наличие папок с такими именами: icq shar download kazaa donkey mule bear morpheus lime В случае обнаружения таких папок, червь копирует в них свои копии с со следующими названиями: XXX hardcore pics.jpg.exe Dark Angels new.pif Porno Screensaver britney.scr Best Matrix Screensaver new.scr Adobe Photoshop 10 full.exe Adobe Premiere 10.exe Teen Porn 15.jpg.pif Microsoft WinXP Crack full.exe Adobe Photoshop 10 crack.exe Windows XP crack.exe Windows 2003 crack.exe Arnold Schwarzenegger.jpg.exe Saddam Hussein.jpg.exe Cloning.doc.exe American Idol.doc.exe Eminem Poster.jpg.exe Altkins Diet.doc.exe Eminem blowjob.jpg.exe The Sims 4 beta.exe Lightwave 9 Update.exe Ulead Keygen 2004.exe Smashing the stack full.rtf.exe Internet Explorer 9 setup.exe Opera 11.exe DivX 8.0 final.exe WinAmp 13 full.exe Cracks & Warez Archiv.exe Visual Studio Net Crack all.exe ACDSee 10.exe MS Service Pack 6.exe Clone DVD 6.exe Magix Video Deluxe 5 beta.exe Star Office 9.exe Partitionsmagic 10 beta.exe Gimp 1.8 Full with Key.exe Norton Antivirus 2005 beta.exe Windows 2000 Sourcecode.doc.exe Keygen 4 all new.exe 3D Studio Max 6 3dsmax.exe 1001 Sex and more.rtf.exe RFC compilation.doc.exe Full album all.mp3.pif Dictionary English 2004 - France.doc.exe Win Longhorn re.exe WinXP eBook newest.doc.exe Learn Programming 2004.doc.exe How to hack new.doc.exe Doom 3 release 2.exe E-Book Archive2.rtf.exe netsky source code.scr Ahead Nero 8.exe Screensaver2.scr Serials edition.txt.exe Microsoft Office 2003 Crack best.exe Червь подписывает рассылаемые письма от имени различных антивирусов: +++ Attachment: No Virus found +++ MessageLabs AntiVirus - www.messagelabs.com +++ Attachment: No Virus found +++ MC-Afee AntiVirus - www.mcafee.com +++ Attachment: No Virus found +++ Kaspersky AntiVirus - www.kaspersky.com +++ Attachment: No Virus found +++ Panda AntiVirus - www.pandasoftware.com ++++ Attachment: No Virus found ++++ Norman AntiVirus - www.norman.com ++++ Attachment: No Virus found ++++ F-Secure AntiVirus - www.f-secure.com ++++ Attachment: No Virus found ++++ Norton AntiVirus - www.symantec.de Не рассылает свои копии, если в адресе присутствуют такие комбинации: @microsof @antivi @symantec @spam @avp @f-secur @bitdefender @norman @mcafee @kaspersky @f-pro @norton @fbi abuse@ @messagel @skynet @pandasof @freeav @sophos ntivir @viruslis noreply@ spam@ reports@ Помимо своей основной функции (распространения по электронной почте), червь обладает деструктивными функциями: Удаляет из системного реестра такие ключи: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Explorer HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \msgsvr32 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \winupd.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \direct.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \jijb HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \DELETE ME HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Sentry HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \system. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \service HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Taskmon HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Video HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Windows Services Host HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services\Video HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services\system. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Explorer HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Taskmon HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Windows Services Host HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \OLE HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \rate.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \ssate.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \gouday.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \direct.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \winupd.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \d3dupdate.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \au.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \srate.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \sysmon.exe Червь также удаляет следующие ключи из реестра: HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 HKLM\System\CurrentControlSet\Services\WksPatch HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\PINF В теле червя содержатся текстовые строки, свидетельствующие о негативном отношении авторов семейства почтовых червей Netsky к авторам другого семейства почтовых червей - Beagle: B+a+g+l+e, d+o +n+o+t+ d+e+l+e+t+e S+k+y+N+e+t. Подставляет в тело письма ссылку на якобы полное письмо. Имя домена подставляется из второй части адреса получателя (@domainname), а имя адресата - из первой части (username@). Например: ------------------------------ From: [email protected] To:[email protected] Subject: Mail Delivery (failure [email protected]) If the message will not displayed automatically, follow the link to read the delivered message. Received message is available at: http://www.sexnet.com/inbox/lola/rea...essionid-17423 ------------------------------ Рекомендации по восстановлению системы 1. Загрузить ОС Windows в Безопасном режиме (Safe Mode). 2. Воспользоваться дисковым сканером Dr.Web® либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Для всех найденных инфицированных файлов необходимо применить действие "Лечить". 3. Восстановить реестр из резервной копии. Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом: Ящик - Свойства почтового ящика - Файлы и каталоги - Хранить присоединенные файлы в отдельном каталоге (Account - Properties - Files & Directories - Keep attachment files - Separately in a special directory). *Win32.HLLM.Limar.based* (Email-Worm.Win32.Warezov.ab, Email-Worm.Win32.Warezov.aj, Email-Worm.Win32.Warezov.y, Generic.Stration.897DECD2, Generic.Stration.C3436AB9, Generic.Stration.CD715647, Generic.Stration.D070A9FB, Generic.Stration.E440BC60, Generic.Stration.F061257B, I-Worm/Generic.PT, I-Worm/Generic.QJ, W32/Stration@MM, W32/Warezov.AA@mm, W32/Warezov.AB@mm, W32/Warezov.S@mm, W32/Warezov.Y@mm, WORM_STRATION.BC, WORM_STRATION.BL, Win32/Stration!generic, Win32/Stration.AQ, Win32/Stration.AT, Win32/Stration.Variant!Worm) Тип вируса: Почтовый червь массовой рассылки Уязвимые ОС: Win95/98/Me/NT/2000/XP Размер файла: 130 - 148 Кбайт, 10-30 Кбайт Упакован: Upack, UPX Техническая информация Распространяется в виде писем с вложениями. Тема письма может быть следующей: Server Report Status Error Test Mail Delivery System Mail server report. Mail Transaction Failed Good day picture Hello Вложение может быть в виде ZIP-архива, EXE-файла или файла с двойным расширением. Имя вложения может быть следующим: 1.Update-KB[число]-х86 с расширением ZIP или EXE. 2. test, body, docs, doc, test, text, readme, file, document, data Тело письма содержит текст: ------------------------------------ Mail server report. Our firewall determined the e-mails containing worm copies are being sent from your computer. Nowadays it happens from many computers, because this is a new virus type (Network Worms). Using the new bug in the Windows, these viruses infect the computer unnoticeably. After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses Please install updates for worm elimination and your computer restoring. Best regards, Customers support service -------------------------------------- Mail transaction failed. Partial message is available. -------------------------------------- The message contains Unicode characters and has been sent as a binary attachment. --------------------------------------- The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment --------------------------------------- В зависимости от типа вложения в письме при своём запуске червь выпоняет: 1. Выводит на экран "Update successfully installed" (при запуске вложения Update-KB[число]-х86). 2. Запускает Notepad, показывая пользователю беспорядочный набор символов (при запуске вложения в виде файла с двойным расширением). В зависимости от своей модификации при своём запуске червь создаёт следующие файлы: %WinDir%\serv.exe (148 621 байт) %WinDir%\serv.s (148 621 байт) %WinDir%\system32\serv.dll (7 680 байта) %WinDir%\system32\e1.dll (8 704 байта) %WinDir%\system32\jgmdmsxm.dll (28 672 байта) %WinDir%\system32\netacdmo.dll (20 480 байт) %WinDir%\system32\tsd3rasd.exe (16 384 байта) %WINDIR%\System32\wupstInt.dll (28672 байт) %WINDIR%\System32\cssewmpd.exe (16384 байт) %WINDIR%\System32\regaufat.dll (24576 байт) Причём имена файлов динамических библиотек (.dll) подставляются разные - в зависимости от модификации червя. Червь маскирует свои процессы. Червь завершает процессы некоторых антивирусных продуктов и межсетевых экранов. В частности, червь автоматически устанавливает приложение serv.exe в число "Доверенных" в списке приложений Agnitum Outpost Firewall, если используется политика "Режим обучения". Червь создаёт файл с расширением .wax, в который записывает почтовые адреса, зарегистрированные в поражённой системе. Для своего последующего запуска червь прописывает себя в автозагрузке, модифицируя секции в реестре: HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersio n\Run "serv" = C:\Windows\serv.exe s HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows "AppInit_DLLs" = wupstInt.dll e1.dll Рассылает свои многочисленные копии, соединяясь по протоколу SMTP с разными серверами. Рекомендации по восстановлению системы 1. Отключить "Восстановление системы". 2. Загрузить ОС Windows в Безопасном режиме (Safe Mode). 3. Воспользоваться дисковым сканером Dr.Web® либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Для всех найденных инфицированных файлов необходимо применить действие "Лечить". 4. Восстановить реестр из резервной копии. Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом: Ящик - Свойства почтового ящика - Файлы и каталоги - Хранить присоединенные файлы в отдельном каталоге (Account - Properties - Files & Directories - Keep attachment files - Separately in a special directory). Последний раз редактировалось Dizzi; 07.05.2007 в 06:38..

17.01.2007, 09:02	#19
visor Неактивный пользователь Регистрация: 18.08.2006 Сообщений: 8 Репутация: 17	Re: Описание вирусов Китайский киберчервь поразил миллионы компьютеров в США, Европе и самой КНР. Вирус получил название worm.whboy по названию провинции Ухань Червь препятствует запуску программ и нарушает целостность работы баз данных. Распространяется через Интернет. Киберчервя оценили по высшей категории опасности из-за серьезного потенциала его широкого распространения. Новый червь может препятствовать зараженным компьютерам управлять антивирусным программным обеспечением и любыми программами, использующими расширение «exe». Пользователи узнают о заражении системы, когда ярлыки файлов превращаются в изображения панд с горящими китайскими фонарями. Для защиты от вируса эксперты советуют пользователям не открывать незнакомые ссылки. Они также убеждают поднять уровень безопасности интернет-браузеров хотя бы до среднего и изменить пароли на вход в Windows.

06.05.2007, 19:17	#20
КириллK Постоялец Пол: Регистрация: 27.03.2007 Сообщений: 282 Репутация: 88	Re: Описание вирусов Руткиты (rootkits) — это утилиты, используемые хакерами для сокрытия своей вредоносной активности: установки шпионского ПО, кражи данных и т.д. Впервые они появились около 10 лет назад. Изначально данный вид вредоносного ПО был разработан для систем Unix, но сейчас появляется все больше руткитов под Windows. Несмотря на то что руткиты не являются чем-то новым, они были заново открыты как вид вредоносного ПО, которое может помочь хакеру незаметно выполнять множество вредоносных действий. Мы видели, как они были использованы в комбинации с бэкдорами (backdoor) для установления удаленного контроля над компьютерами». Для сокрытия своей вредоносной активности руткиты модифицируют операционную систему на компьютере и могут даже заменять основные функции. Это значит, что они не только скрывают свое собственное присутствие, но также и действия, которые предпринимает злоумышленник на зараженном компьютере. Более того, руткит может скрывать присутствие других вредоносных программ на компьютере, просто изменяя файловые данные, ключи реестра или активные процессы. По мнению экспертов PandaLabs, лучшая защита от руткитов — предупредительные меры, например, адекватно обновленное антивирусное решение, которое способно блокировать проникновение большинства руткитов. Межсетевые экраны также полезны, так как могут помешать руткитам проникнуть сквозь незащищенные порты и остановить их активность, если они уже установились на компьютер Классификация угроз для вашего компьютера Вирусы Программы, заражающие другие программы путем добавления в них своего кода, чтобы получить управление при запуске зараженных файлов. Скорость распространения вирусов немного ниже, чем у червей. "Троянские" программы Строго говоря, данная категория программ может быть отнесена к вирусам. В нее входят программы, осуществляющие различные действия, не санкционированные пользователем: сбор информации и ее передачу злоумышленнику, разрушение или злонамеренная модификация данных, нарушение работоспособности компьютера, использование ресурсов компьютера в своих целях. Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособности зараженного компьютера (например, троянские программы, разработанные для распределенных DoS-атак на удаленные ресурсы сети). Троянские кони Отличаются от вирусов тем, что они не размножаются и часто маскируются под видом полезных и безопасных программ или обновлений для популярных программ. Интернет-трояны - программы, которые либо дают доступ к компьютеру с другого компьютера без ведома пользователя (BackDoor), либо высылают по определенному адресу какую-либо информацию с компьютера-жертвы (Trojan.PSW). Черви Данная категория вредоносного ПО не дописывается к исполнимому коду, а рассылает себя на сетевые ресурсы. К данной категории относятся программы, распространяющие свои копии по локальным и/или глобальным сетям с целью: проникновения на удаленные компьютеры; запуска своей копии на удаленном компьютере; дальнейшего распространения на другие компьютеры сети. Для своего распространения сетевые черви используют всевозможные компьютерные и мобильные сети: электронную почту, системы обмена мгновенными сообщениями, файлообменные (P2P) и IRC-сети, LAN, сети обмена данными между мобильными устройствами (телефонами, карманными компьютерами) и т. д. Большинство известных сетевых червей распространяется в виде файлов: вложений в электронные письма, ссылок на зараженный файл на каком-либо веб- или FTP-ресурсе, в ICQ- и IRC-сообщениях, в виде файла в каталоге обмена P2P и т.п.Некоторые сетевые черви (так называемые "бесфайловые" или "пакетные") распространяются в виде сетевых пакетов, проникая непосредственно в память компьютера и активизируя свой код.Для проникновения на удаленные компьютеры и запуска своей копии сетевые черви используют различные методы: приемы социального инжиниринга (например, сопровождение электронным письмом, призывающим открыть вложенный файл), недочеты в конфигурации сети (к примеру, копирование на диск, открытый на полный доступ), ошибки в службах безопасности операционных систем и их приложений. Некоторые сетевые черви обладают также свойствами других разновидностей вредоносного программного обеспечения. Например, содержат троянские функции или способны заражать выполняемые файлы на локальном диске, то есть имеют свойства троянской программы и/или компьютерного вируса. Хакерские утилиты Программы, предназначенные для нанесения какого-либо вреда программному обеспечению (подбор паролей, удаленное управление и т.д.). Программы данного класса не являются ни вирусами, ни "троянскими конями" и не наносят вреда компьютерам, на которых они установлены, но при этом могут использоваться для проведения атаки на другие компьютеры и на чужую информацию. К данной категории программ относятся: утилиты автоматизации создания сетевых червей, компьютерных вирусов и троянских программ (так называемые "конструкторы"); программные библиотеки, разработанные для создания вредоносного ПО; хакерские утилиты сокрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов). Программы-шпионы (spyware) Программное обеспечение, использование которого может нанести вред информации пользователя. Под термином "spyware" в подавляющем большинстве случаев подразумевается целое семейство программ, в которое входят программы дозвона, утилиты для закачивания файлов из интернета, различные серверы (FTP, Proxy, Web, Telnet), IRC-клиенты, средства мониторинга, PSW-утилиты, средства удаленного администрирования, программы-шутки. Иногда в семейство spyware включают еще и рекламные коды (adware), которые могут демонстрировать рекламные сообщения, подставлять, изменять результаты поиска и любыми доступными способами продвигать рекламируемый сайт. Если подходить к терминологической проблеме академически, то все перечисленные выше типы программ следует называть "riskware". На русском языке это слово означает "условно опасные программы" - то есть такие, которые могут причинить вред информации пользователя.

07.05.2007, 06:42	#21
Dizzi ViP Пол: Регистрация: 25.06.2005 Адрес: www Сообщений: 333 Репутация: 810	Re: Описание вирусов КириллK, С мануала по Касперскому что ли скопировал?гг Не забываем юзать тег [cut=произвольный текст] спрятанный текст[/cut] Извени но читать бОяны на пол страницы не впечатляет __________________ (\__/) (='.'=) E[:]\|\|\|\|\|[:]3 (")_(")

15.06.2007, 17:40	#23
igorvsimonof Неактивный пользователь Пол: Регистрация: 02.08.2006 Адрес: Сочи Сообщений: 57 Репутация: 109	Ответ: Описание вирусов Кто-нибудь сталкивался с Trojan.Recycle??? создает папку Recycled в которой есть файл cftmon.exe собственно сам вирус а autorun.inf следующего содержания [autorun] shellexecute=Recycled\ctfmon.exe shell\Open(&0)\command=Recycled\ctfmon.exe shell=Open(&0) при открытии папки, в которой сидит данный вирус комп заражается... А что он делает???

16.07.2007, 06:43	#24
dinazawur Новичок Пол: Регистрация: 15.01.2007 Сообщений: 7 Репутация: 1	Ответ: Описание вирусов Win32_Agent.AEC после очистки не работают абсолютно все ехе файлы, заходим в папку Windows находим файл Regedit.exe переименовываем в Regedit.com редактируем реестр путь HKEY_Classes_root\exefile\shell\open Нестандартный ключ Shell\Open для "exefile": "soundmix "%1" %*" просто удаляем soundmix и усе работает данный троян создает себя под именем C:\windows\system32\soundmix.exe C:\WINDOWS\system32\dllcache\zipexr.dll и соответственно при запуске ехе файлов прописывает их через себя

11.10.2007, 08:22	#25
THunderHead Новичок Пол: Регистрация: 26.09.2007 Сообщений: 15 Репутация: 1	Ответ: Описание вирусов Из техподовского опыта. В локалке с ВПНкой и часто встречал тему когда у пользователей слетали настройки%) Выдаёт ошибку 678 ,иногда 691. Номер телефона становился 8,, и тд. Можно конечно написать самостоятельно как решать ету проблему, но тут на Каспере есть описание: http://www.viruslist.com/ru/viruses/...virusid=109170 Палится он элементарно ... в процессах присутствует itunesff. Говорят бывает что процесс называется fsb , но я ни разу не видел такого.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
7-знак за описание сайта	alex_nm	Интернет партизаны	4	28.02.2010 03:58
Что это такое - Описание: {desc} ???	savca	PHP	5	28.11.2008 14:53
Описание ядра	realsintez	UNIX, Linux, MacOs для PC и другие ОС	1	11.10.2008 18:42
Помогите найти описание	METALURG	Архив	6	23.02.2007 15:42
Описание программатора MULTIPASS+	Nagra	Программаторы	0	14.09.2006 17:02