Вредоносное ПО (Обзор) - Страница 3

*lastmylove* · 17.07.2007, 15:36

W32/Baysur-B

Червь

Операционная система:
Windows

Уровень:
низкий

Признаки

Копирует себя на съёмные и сетевые диски, выбирая в качестве имени имя одной из существующих директорий или файлов, и добавляет расширение SCR (исполняемый файл скринсейвера).

При первом запуске создаёт файл %Windows%\Thumbs[некоторое_число_пробелов].db. Это невредоносный файл, содержащий библиотеку времени выполнения Microsoft Visual Basic.

Защита

Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Распространяется посредством копирования себя на съёмные и сетевые диски.
Запускается автоматически после каждого старта Windows.

*lastmylove* · 17.07.2007, 15:37

Troj/Prorat-DK

Троян

Операционная система:
Windows

Уровень:
низкий

Признаки

При первом запуске копирует себя в директорию Windows под именем services.exe, а также в системную директорию (%System%) под именами sservice.exe и fservice.exe.

Создаёт следующие файлы:

%Windows%\ktd32.atm (может быть безопасно удалён)
%System%\wininv.dll (определяется как Troj/Prorat-DK)
%System%\winkey.dll (определяется как Troj/Prorat-DK)

Записывает ссылки на себя в разделы реестра, отвечающие за автозагрузку приложений после запуска Windows:

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y}\StubPath = %System%\sservice.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run\DirectX For MicrosoftR Windows = %System%\fservice.exe.

Для обеспечения автозагрузки также модифицирует следующую запись в реестре (дописывает себя в качестве параметра запуска к Explorer.exe):

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe %System%\fservice.exe"

Создаёт записи в реестре в разделах:

HKCU\Software\Microsoft DirectX\WinSettings
HKCR\.key

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Открывает на компьютере "чёрный ход", позволяющий атакующему получить полный контроль над системой; отправляет оповещение атакующему об установке в систему.
Запускается при каждой загрузке Windows.

*lastmylove* · 17.07.2007, 15:38

Troj/Riler-Y

Троян

Операционная система:
Windows

Уровень:
низкий

Признаки

При первом запуске создаёт файлы в системной директории Windows:

toonjoke.dll - определяется как Troj/Riler-Gen
feelcat.ini - служебный файл трояна, может быть безопасно удалён

Toonjoke.dll устанавливает себя в начало цепочки обработчиков сетевого трафика (WSC) Windows Sockets 2 и таким образом может перехватывать трафик.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Перехватывает сетевой трафик.
Может загружать из интернета и выполнять другой вредоносный код.

*lastmylove* · 18.07.2007, 16:32

W32/Sdbot-DGJ

Признаки

При первом запуске копирует себя в директорию Windows под именем nzbd.exe, а также в "Program Files\KaZaA\My Shared Folder\" под именем, совпадающим с именем одного из исполняемых (exe) файлов, найденных в директории.

Файл nzbd.exe регистрируется как новый системный драйвер сервиса "Windows NZDB Service", имеющего такое же отображаемое имя и тип запуска "автоматический". Записи в реестре создаются в разделе:

HKLM\SYSTEM\CurrentControlSet\Services\Windows NZDB Service

Через реестр отключает доступ к Диспетчеру задач и Редактору реестра:

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableTaskMgr=1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableRegistryTools=1

Отключает в реестре автозапуск ряда приложений (Messenger, Удалённый реестр и Telnet):

HKLM\SYSTEM\CurrentControlSet\Services\Messenger\S tart=4
HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegis try\Start=4
HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr\Sta rt=4

Отключает контроль целостности системных файлов (SFC) и брандмауэр Windows, запрещает установку SP2 для XP:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCScan=0
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\D omainProfile\EnableFirewall=0
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\S tandardProfile\EnableFirewall=0
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUp date\DoNotAllowXPSP2=1
HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM=N
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCDisable=ffffff9d

Модифицирует значение ключа HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell, дописывая себя в качестве параметра к Explorer.exe. Это обеспечивает автоматический запуск при старте графической оболочки Windows.

Explorer.exe %WINDIR%\nzbd.exe

Создаёт в реестре ключи в следующих разделах:

HKLM\SOFTWARE\Microsoft\Security Center
HKLM\SOFTWARE\Symantec\LiveUpdate Admin

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Найти и удалить сервис, созданный вредоносной программой.
Действие
Устанавливается как сервис; открывает в системе "чёрный ход"; связывается с атакующим через веб-сайты.

*lastmylove* · 18.07.2007, 16:32

W32/Poebot-MN

Червь

Признаки

При запуске копирует себя в системную директорию Windows под именем csrs.exe; записывает ссылку на этот файл в раздел реестра, отвечающий за автозагрузку приложений (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru n\"Client Server Runtime Process"="%System%\csrs.exe").

Распространяется на другие компьютеры в интернете, используя критические уязвимости переполнения буфера в Windows, не требующие участия пользователя:

LSASS (MS04-011)
SRVSVC (MS06-040)
RPC-DCOM (MS04-012)
PNP (MS05-039)

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Открывает на компьютере "чёрный ход".
Подключается к IRC-серверу для приёма команд атакующего.
Крадёт конфиденциальную информацию.
Загружает из интернета и выполняет дополнительный вредоносный код.
Распространяется, используя критические уязвимости в Windows

*lastmylove* · 18.07.2007, 16:34

Trojan.Gpcoder.E

Троян

Признаки

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Зашифровывает файлы на диске и предлагает пользователю заплатить выкуп за получение пароля.

*lastmylove* · 18.07.2007, 16:34

Troj/PSW-EF

Троян

Признаки

При первом запуске копирует себя в системную директорию Windows (%System%) под именем shareb.exe и записывает в директорию Windows (%Windows%) DLL-файл shareb32.dll.

Устанавливает shareb32.dll как Вспомогательный объект браузера Microsoft Internet Explorer (Browser Helper Object). Производит записи в реестре:

HKCR\CLSID\{FBF3B337-FEB6-403B-BBE2-2B67CB6563E3}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\ShellExecuteHooks= {FBF3B337-FEB6-403B-BBE2-2B67CB6563E3}

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Работает как вспомогательный объект браузера Microsoft Internet Explorer; крадёт данные, вводимые в формах браузера.

*lastmylove* · 18.07.2007, 16:35

W32/Looked-DM

Вирус

Признаки

При первом запуске создаёт следующие файлы в директории Windows (%Windows%):

Logo1_.exe
RichDll.dll
\uninstall\\rundl132.exe

Может создавать файлы "_desktop.ini" в различных директориях зараженного компьютера. Это безопасные текстовые файлы, которые могут быть удалены без вреда для системы.

Записывает ссылку на себя в раздел автозагрузки реестра:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load = "%Windows%\uninstall\rundl132.exe"

Создаёт раздел реестра HKLM\SOFTWARE\Soft\DownloadWWW\

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Способ заражения: запись тела вируса в начало исполняемого файла, дописывание оригинального файла в конец.

Распространяется, заражая файлы в директориях общего доступа файлообменных сетей.

Открывает "чёрный ход" на зараженном компьютере.
Загружает из интернета и выполняет другой вредоносный код.

*lastmylove* · 18.07.2007, 21:06

Micro Bill System

Признаки

Потенциально нежелательное приложение для Windows от биллинговой компании Micro Bill Systems. Выводит счёт во всплывающем окне и учащает вывод окна при попытке пользователя проигнорировать его.

Пытается подключиться к сайту auth.microbillsys.com:1003; также посещает определённый URL и пытается установить с него различные компоненты, используя ActiveX.

Защита
Для удаления необходимо воспользоваться антивирусом с базой сигнатур, содержащих определение данного приложения.
Действие
Потенциально нежелательное приложение для Windows, совершающее действия, не согласованные с пользователем.

Micro Bill Systems - онлайновая биллинговая компания, предоставляющая услуги в основном "взрослым" сайтам.

Приложение отображает счёт во всплывающем окне, и чем больше его игнорировать, тем чаще окно будет всплывать.

Приложение также пытается загружать дополнительные компоненты.

*lastmylove* · 21.07.2007, 08:11

W97M.Mupps

Признаки

Вредоносный код содержится в макросе в документе Word (.DOC). При открытии документа записывает в текущую директорию EXE-файл svdhost.exe - утилиту для организации на компьютере "чёрного хода".

Пытается подключиться к 160.149.157.132 через TCP-порты 443, 22 или 80.

Защита
Для удаления трояна необходимо воспользоваться антивирусной программой, содержащей в базе сигнатур его определение.
Действие
Представляет собой документ Word (.DOC). Открывает на компьютере "чёрный ход", связывается с атакующим.

*lastmylove* · 21.07.2007, 08:11

W32/SillyFDC-AN

Признаки

При запуске копирует себя в системную директорию Windows (%System%) под именем systeminit.exe.

Копирует себя в корневую директорию съёмных дисков под именем setup.exe вместе с файлом автозапуска - autorun.inf, указывающим на setup.exe.

Создаёт в реестре запись, позволяющую запускать свой код при каждом старте Windows:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\systeminit = "%System%\systeminit.exe"

Затрудняет своё обнаружение, отключая через реестр доступ к Диспетчеру задач, командному процессору (cmd.exe), Редактору реестра и поиску файлов:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\system\DisableCMD=2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\system\DisableRegistryTools=1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\system\DisableTaskMgr=1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\Explorer\NoFind=1

Включает через реестр автозапуск файлов (через autorun.ini) на всех дисках:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\Explorer\NoDriveTypeAutoRun=0

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Распространяется копированием себя на съёмные диски; запускается автоматически при старте системы.

*lastmylove* · 21.07.2007, 08:13

W32/Sdbot-DGM

Признаки

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe); восстановить значения изменённых ключей.
Действие

Создаёт на компьютере "чёрный ход", поддерживая связь с атакующим через IRC-сервер
Загружает и выполняет дополнительный вредоносный код
Собирает и отправляет атакующему важную информацию

Распространяется, используя критические уязвимости в Windows к удалённому выполнению кода, не требующие вмешательства пользователя. Также копирует себя на совместно используемые сетевые ресурсы, защищённые слабыми паролями.

*lastmylove* · 21.07.2007, 08:13

W32/SillyFDC-AM

Признаки

При старте копирует себя в системную директорию драйверов Windows (%System%\DRIVERS\) под именем WINLOGON.EXE, а также ищет EXE файлы на всех дисках и перезаписывает их своей копией, оставляя старое имя.

Распространяется копированием себя на съёмные диски под именем setup.exe, создаёт в корне диска файл автозапуска Autorun.inf.

Пытается заменить исполняемые файлы на компьютере на свою копию.

Обеспечивает себе автозагрузку, записывая в реестр следующее значение:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load="%System%\DRIVERS\W INLOGON.EXE"

Через реестр разрешает запуск файлов autorun.inf на всех дисках:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\Explorer\NoDriveTypeAutoRun=0

Через реестр отключает функцию поиска файлов, доступ к командному процессору (cmd.exe), Редактору реестра и Диспетчеру задач:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\Explorer\NoFind=1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\system\DisableCMD=2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\system\DisableRegistryTools=1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\system\DisableTaskMgr=1

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой, а также восстановить значения всех изменённых ключей (использовать regedit.exe)
Действие
Распространяется копированием себя на съёмные диски и перезаписью исполняемых файлов EXE своей копией.

*lastmylove* · 21.07.2007, 08:14

W32/Rubble-A

Признаки

При старте копирует себя под именем win32.exe в системную директорию Windows.
Записывает ссылку на себя в раздел автозагрузки реестра:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Load=%System%\win32.exe

Распространяется, перезаписывая собой найденные исполняемые файлы (EXE) на всех дисках, включая съёмные.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Распространяется перезаписыванием собой исполняемых файлов (EXE) на всех дисках, что может привести к неработоспособности системы после перезагрузки.

*lastmylove* · 21.07.2007, 08:14

Troj/Dorf-Gen

Признаки

Семейство троянов; при запуске копируют в директорию Windows файл драйвера с расширением SYS и регистрируют его в качестве сервиса с автоматической загрузкой при старте системы.
Для регистрации сервиса создают в реестре запись:

HKLM\SYSTEM\CurrentControlSet\Services\[ИМЯ_СЕРВИСА]

Обычно различные варианты троянов семейства пытаются встроить код в файл services.exe. Создают пустой файл %System%\peers.ini, загружают из интернета и выполняют дополнительный вредоносный код, открывают на компьютере "чёрный ход", предоставляющий атакующему полный доступ к системе.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Семейство троянов для Windows, открывающих в системе "чёрный ход".

17.07.2007, 15:36	#31
lastmylove Злодей .. Пол: Регистрация: 09.06.2006 Сообщений: 5,045	Ответ: Вредоносное ПО W32/Baysur-B Червь Операционная система: Windows Уровень: низкий Признаки Копирует себя на съёмные и сетевые диски, выбирая в качестве имени имя одной из существующих директорий или файлов, и добавляет расширение SCR (исполняемый файл скринсейвера). При первом запуске создаёт файл %Windows%\Thumbs[некоторое_число_пробелов].db. Это невредоносный файл, содержащий библиотеку времени выполнения Microsoft Visual Basic. Защита Отключить функцию "Восстановление системы" (для Windows ME и XP) Полностью проверить систему антивирусом с обновлённой базой сигнатур Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe) Действие Распространяется посредством копирования себя на съёмные и сетевые диски. Запускается автоматически после каждого старта Windows.

17.07.2007, 15:37	#32
lastmylove Злодей .. Пол: Регистрация: 09.06.2006 Сообщений: 5,045	Ответ: Вредоносное ПО Troj/Prorat-DK Троян Операционная система: Windows Уровень: низкий Признаки При первом запуске копирует себя в директорию Windows под именем services.exe, а также в системную директорию (%System%) под именами sservice.exe и fservice.exe. Создаёт следующие файлы: %Windows%\ktd32.atm (может быть безопасно удалён) %System%\wininv.dll (определяется как Troj/Prorat-DK) %System%\winkey.dll (определяется как Troj/Prorat-DK) Записывает ссылки на себя в разделы реестра, отвечающие за автозагрузку приложений после запуска Windows: HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y}\StubPath = %System%\sservice.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run\DirectX For MicrosoftR Windows = %System%\fservice.exe. Для обеспечения автозагрузки также модифицирует следующую запись в реестре (дописывает себя в качестве параметра запуска к Explorer.exe): HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe %System%\fservice.exe" Создаёт записи в реестре в разделах: HKCU\Software\Microsoft DirectX\WinSettings HKCR\.key Защита Отключить функцию "Восстановление системы" (для Windows ME и XP) Полностью проверить систему антивирусом с обновлённой базой сигнатур Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe) Действие Открывает на компьютере "чёрный ход", позволяющий атакующему получить полный контроль над системой; отправляет оповещение атакующему об установке в систему. Запускается при каждой загрузке Windows.

17.07.2007, 15:38	#33
lastmylove Злодей .. Пол: Регистрация: 09.06.2006 Сообщений: 5,045	Ответ: Вредоносное ПО Troj/Riler-Y Троян Операционная система: Windows Уровень: низкий Признаки При первом запуске создаёт файлы в системной директории Windows: toonjoke.dll - определяется как Troj/Riler-Gen feelcat.ini - служебный файл трояна, может быть безопасно удалён Toonjoke.dll устанавливает себя в начало цепочки обработчиков сетевого трафика (WSC) Windows Sockets 2 и таким образом может перехватывать трафик. Защита Отключить функцию "Восстановление системы" (для Windows ME и XP) Полностью проверить систему антивирусом с обновлённой базой сигнатур Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe) Действие Перехватывает сетевой трафик. Может загружать из интернета и выполнять другой вредоносный код.

18.07.2007, 16:32	#34
lastmylove Злодей .. Пол: Регистрация: 09.06.2006 Сообщений: 5,045	Ответ: Вредоносное ПО W32/Sdbot-DGJ Признаки При первом запуске копирует себя в директорию Windows под именем nzbd.exe, а также в "Program Files\KaZaA\My Shared Folder\" под именем, совпадающим с именем одного из исполняемых (exe) файлов, найденных в директории. Файл nzbd.exe регистрируется как новый системный драйвер сервиса "Windows NZDB Service", имеющего такое же отображаемое имя и тип запуска "автоматический". Записи в реестре создаются в разделе: HKLM\SYSTEM\CurrentControlSet\Services\Windows NZDB Service Через реестр отключает доступ к Диспетчеру задач и Редактору реестра: HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableTaskMgr=1 HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableRegistryTools=1 Отключает в реестре автозапуск ряда приложений (Messenger, Удалённый реестр и Telnet): HKLM\SYSTEM\CurrentControlSet\Services\Messenger\S tart=4 HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegis try\Start=4 HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr\Sta rt=4 Отключает контроль целостности системных файлов (SFC) и брандмауэр Windows, запрещает установку SP2 для XP: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCScan=0 HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\D omainProfile\EnableFirewall=0 HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\S tandardProfile\EnableFirewall=0 HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUp date\DoNotAllowXPSP2=1 HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM=N HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCDisable=ffffff9d Модифицирует значение ключа HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell, дописывая себя в качестве параметра к Explorer.exe. Это обеспечивает автоматический запуск при старте графической оболочки Windows. Explorer.exe %WINDIR%\nzbd.exe Создаёт в реестре ключи в следующих разделах: HKLM\SOFTWARE\Microsoft\Security Center HKLM\SOFTWARE\Symantec\LiveUpdate Admin Защита Отключить функцию "Восстановление системы" (для Windows ME и XP) Полностью проверить систему антивирусом с обновлённой базой сигнатур Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe) Найти и удалить сервис, созданный вредоносной программой. Действие Устанавливается как сервис; открывает в системе "чёрный ход"; связывается с атакующим через веб-сайты.

18.07.2007, 16:32	#35
lastmylove Злодей .. Пол: Регистрация: 09.06.2006 Сообщений: 5,045	Ответ: Вредоносное ПО W32/Poebot-MN Червь Признаки При запуске копирует себя в системную директорию Windows под именем csrs.exe; записывает ссылку на этот файл в раздел реестра, отвечающий за автозагрузку приложений (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru n\"Client Server Runtime Process"="%System%\csrs.exe"). Распространяется на другие компьютеры в интернете, используя критические уязвимости переполнения буфера в Windows, не требующие участия пользователя: LSASS (MS04-011) SRVSVC (MS06-040) RPC-DCOM (MS04-012) PNP (MS05-039) Защита Отключить функцию "Восстановление системы" (для Windows ME и XP) Полностью проверить систему антивирусом с обновлённой базой сигнатур Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe) Действие Открывает на компьютере "чёрный ход". Подключается к IRC-серверу для приёма команд атакующего. Крадёт конфиденциальную информацию. Загружает из интернета и выполняет дополнительный вредоносный код. Распространяется, используя критические уязвимости в Windows

18.07.2007, 16:34	#36
lastmylove Злодей .. Пол: Регистрация: 09.06.2006 Сообщений: 5,045	Ответ: Вредоносное ПО Trojan.Gpcoder.E Троян Признаки Для проверки наличия своей копии в памяти, создаёт мутекс __SYSTEM__64AD0625__. Копирует себя в системную директорию Windows под именем ntos.exe; для сокрытия длины дополняет файл случайным количеством "мусорных" байт. Проверяет наличие в памяти брандмауэров OUTPOST.EXE и CCPROXY.EXE. При обнаружении откладывает работу до следующей перезагрузки системы. Собирает следующую информацию: Версия ОС Наличие SP2 (для XP) Язык системы Создаёт в системной директории Windows директорию wsnpoem с атрибутами "системная" "скрытая" (system и hidden). Создаёт в wsnpoem файл-хранилище собранной информации: audio.dll. Создаёт там же зашифрованный файл собственных настроек: video.dll. Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений вместе с системой: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "%System%\userinit.exe, %System%\ntos.exe" Для тех же целей может модифицировать следующие ключи реестра: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"userinit" = "%System%\ntos.exe" HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run\"userinit" = "%System%\ntos.exe" Внедряет вредоносный код в процессы WINLOGON.EXE и SVCHOST.EXE; пытается создать собственные потоки (threads) во всех процессах, кроме CSRSS.EXE. Код выполняет функцию защиты от удаления и доступа к файлам, созданным трояном, и периодически восстанавливает изменённые и добавленные значения реестра. Для внедрения кода в другие процессы использует методику руткита пользовательского режима. Пытается получить контроль к работе с сетью - перехватывать и перенаправлять трафик. Собирает различную информацию из системы. Может создавать в реестре метку, означающую, что компьютер уже захвачен: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\"UID" = "[ИМЯ_КОМПЬЮТЕРА]_[УНИКАЛЬНЫЙ_ID]" Открывает "чёрный ход" на TCP-порту 6081. После 10 июля активируется процедура шифрования файлов. Создаёт в реестре следующие ключи: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\"WinCode" = "[КЛЮЧ_ДЛЯ_ШИФРОВАНИЯ - 4 байта]" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\"Win32" = "[ПОЧТОВЫЙ_ФЛАГ]" [ПОЧТОВЫЙ ФЛАГ] - случайное число от 1 до 4, используемое для выбора почтового адреса атакующего. Ищет на дисках (C - Z, кроме компакт-дисководов) во всех директориях, кроме корневой, файлы с расширениями: .12m .3ds .3dx .4ge .4gl .7z .a86 .abc .acd .ace .act .ada .adi .aex .af3 .afd .ag4 .ai .aif .aifc .aiff .ain .aio .ais .akf .alv .amp .ans .ap .apa .apo .app .arc .arh .arj .arx .asc .asm .ask .au .bak .bas .bb .bcb .bcp .bdb .bh .bib .bpr .bsa .btr .bup .bwb .bz .bz2 .c86 .cac .cbl .cc .cdb .cdr .cgi .cmd .cnt .cob .col .cpp .cpt .crp .cru .csc .css .csv .ctx .cvs .cwb .cwk .cxe .cxx .cyp .db .db0 .db1 .db2 .db3 .db4 .dba .dbb .dbc .dbd .dbe .dbf .dbk .dbm .dbo .dbq .dbt .dbx .dfm .djvu .dic .dif .dm .dmd .doc .dok .dot .dox .dsc .dwg .dxf .dxr .eps .exp .fas .fax .fdb .fla .flb .frm .fm .fox .frm .frt .frx .fsl .gtd .gif .gz .gzip .ha .hh .hjt .hog .hpp .htm .html .htx .ice .icf .inc .ish .iso .jar .jad .java .jpg .jpeg .js .jsp .key .kwm .lst .lwp .lzh .lzs .lzw .ma .mak .man .maq .mar .mbx .mdb .mdf .mid .mo .myd .obj .old .p12 .pak .pas .pdf .pem .pfx .php .php3 .php4 .pgp .pkr .pl .pm3 .pm4 .pm5 .pm6 .png .ppt .pps .prf .prx .ps .psd .pst .pw .pwa .pwl .pwm .pwp .pxl .py .rar .res .rle .rmr .rnd .rtf .safe .sar .skr .sln .swf .sql .tar .tbb .tex .tga .tgz .tif .tiff .txt .vb .vp .wps .xcr .xls .xml .zip Найденные файлы шифруются самодельным алгоритмом при помощи вышеуказанного ключа. Первые байты зараженного файла содержат сигнатуру - "GLAMOUR" Создаёт в каждой директории, где есть зашифрованные файлы, файл read_me.txt. В файле говорится, что все данные за последние 3 месяца зашифрованы алгоритмом RSA-4096, и необходимо заплатить выкуп в $300 за получение программы-расшифровщика. Иначе данные будут утеряны для пользователя и разглашены в Сети. Текст в оригинале: Hello, your files are encrypted with RSA-4096 algorithm ([http://]en.wikipedia.org/wiki/R[УДАЛЕНО]). You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us. To decrypt your files you need to buy our software. The price is $300. To buy our software please contact us at: [EMAIL] and provide us your personal code [КЛЮЧ_ДЛЯ_ШИФРОВАНИЯ]. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system. If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data. Glamorous team Почтовый адрес ([EMAIL]) выбирается в зависимости от значения "[ПОЧТОВЫЙ_ФЛАГ]": [email protected] [email protected] [email protected] [email protected] Пытается отправлять и получать данные с сайта: [http://]martin-golf.net/pajero/cfg[УДАЛЕНО] Защита Отключить функцию "Восстановление системы" (для Windows ME и XP) Полностью проверить систему антивирусом с обновлённой базой сигнатур Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe) Действие Зашифровывает файлы на диске и предлагает пользователю заплатить выкуп за получение пароля.

18.07.2007, 16:34	#37
lastmylove Злодей .. Пол: Регистрация: 09.06.2006 Сообщений: 5,045	Ответ: Вредоносное ПО Troj/PSW-EF Троян Признаки При первом запуске копирует себя в системную директорию Windows (%System%) под именем shareb.exe и записывает в директорию Windows (%Windows%) DLL-файл shareb32.dll. Устанавливает shareb32.dll как Вспомогательный объект браузера Microsoft Internet Explorer (Browser Helper Object). Производит записи в реестре: HKCR\CLSID\{FBF3B337-FEB6-403B-BBE2-2B67CB6563E3} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\ShellExecuteHooks= {FBF3B337-FEB6-403B-BBE2-2B67CB6563E3} Защита Отключить функцию "Восстановление системы" (для Windows ME и XP) Полностью проверить систему антивирусом с обновлённой базой сигнатур Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe) Действие Работает как вспомогательный объект браузера Microsoft Internet Explorer; крадёт данные, вводимые в формах браузера.

18.07.2007, 16:35	#38
lastmylove Злодей .. Пол: Регистрация: 09.06.2006 Сообщений: 5,045	Ответ: Вредоносное ПО W32/Looked-DM Вирус Признаки При первом запуске создаёт следующие файлы в директории Windows (%Windows%): Logo1_.exe RichDll.dll \uninstall\\rundl132.exe Может создавать файлы "_desktop.ini" в различных директориях зараженного компьютера. Это безопасные текстовые файлы, которые могут быть удалены без вреда для системы. Записывает ссылку на себя в раздел автозагрузки реестра: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load = "%Windows%\uninstall\rundl132.exe" Создаёт раздел реестра HKLM\SOFTWARE\Soft\DownloadWWW\ Защита Отключить функцию "Восстановление системы" (для Windows ME и XP) Полностью проверить систему антивирусом с обновлённой базой сигнатур Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe) Действие Способ заражения: запись тела вируса в начало исполняемого файла, дописывание оригинального файла в конец. Распространяется, заражая файлы в директориях общего доступа файлообменных сетей. Открывает "чёрный ход" на зараженном компьютере. Загружает из интернета и выполняет другой вредоносный код.

18.07.2007, 21:06	#39
lastmylove Злодей .. Пол: Регистрация: 09.06.2006 Сообщений: 5,045	Ответ: Вредоносное ПО Micro Bill System Признаки Потенциально нежелательное приложение для Windows от биллинговой компании Micro Bill Systems. Выводит счёт во всплывающем окне и учащает вывод окна при попытке пользователя проигнорировать его. Пытается подключиться к сайту auth.microbillsys.com:1003; также посещает определённый URL и пытается установить с него различные компоненты, используя ActiveX. Защита Для удаления необходимо воспользоваться антивирусом с базой сигнатур, содержащих определение данного приложения. Действие Потенциально нежелательное приложение для Windows, совершающее действия, не согласованные с пользователем. Micro Bill Systems - онлайновая биллинговая компания, предоставляющая услуги в основном "взрослым" сайтам. Приложение отображает счёт во всплывающем окне, и чем больше его игнорировать, тем чаще окно будет всплывать. Приложение также пытается загружать дополнительные компоненты.

21.07.2007, 08:11	#40
lastmylove Злодей .. Пол: Регистрация: 09.06.2006 Сообщений: 5,045	Ответ: Вредоносное ПО W97M.Mupps Признаки Вредоносный код содержится в макросе в документе Word (.DOC). При открытии документа записывает в текущую директорию EXE-файл svdhost.exe - утилиту для организации на компьютере "чёрного хода". Пытается подключиться к 160.149.157.132 через TCP-порты 443, 22 или 80. Защита Для удаления трояна необходимо воспользоваться антивирусной программой, содержащей в базе сигнатур его определение. Действие Представляет собой документ Word (.DOC). Открывает на компьютере "чёрный ход", связывается с атакующим.

21.07.2007, 08:11	#41
lastmylove Злодей .. Пол: Регистрация: 09.06.2006 Сообщений: 5,045	Ответ: Вредоносное ПО W32/SillyFDC-AN Признаки При запуске копирует себя в системную директорию Windows (%System%) под именем systeminit.exe. Копирует себя в корневую директорию съёмных дисков под именем setup.exe вместе с файлом автозапуска - autorun.inf, указывающим на setup.exe. Создаёт в реестре запись, позволяющую запускать свой код при каждом старте Windows: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\systeminit = "%System%\systeminit.exe" Затрудняет своё обнаружение, отключая через реестр доступ к Диспетчеру задач, командному процессору (cmd.exe), Редактору реестра и поиску файлов: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\system\DisableCMD=2 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\system\DisableRegistryTools=1 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\system\DisableTaskMgr=1 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\Explorer\NoFind=1 Включает через реестр автозапуск файлов (через autorun.ini) на всех дисках: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\pol icies\Explorer\NoDriveTypeAutoRun=0 Защита Отключить функцию "Восстановление системы" (для Windows ME и XP) Полностью проверить систему антивирусом с обновлённой базой сигнатур Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe) Действие Распространяется копированием себя на съёмные диски; запускается автоматически при старте системы.

21.07.2007, 08:13	#42
lastmylove Злодей .. Пол: Регистрация: 09.06.2006 Сообщений: 5,045	Ответ: Вредоносное ПО W32/Sdbot-DGM Признаки Для распространения использует уязвимости Windows к удалённому выполнению кода, не требующие вмешательства пользователя, в частности, ASN.1 (MS04-007). Также проникает на компьютеры через совместно используемые ресурсы, защищённые слабыми паролями. При запуске копирует себя как %Windows%\MSTask.exe. Создаёт вспомогательный файл %System%\trash1B9F4. Создаёт библиотеку %System%\sfc_os.dll, отключающую проверку системных файлов. Антивирусы Sophos определяют её как "Disabled System File Check DLL". Заменяет ftp-клиенты %System%\ftp.exe и %System%\tftp.exe на пустые файлы. Регистрирует в реестре %Windows%\MSTask.exe как сервис "Windows Task Scheduler process" с аналогичным описанием и типом запуска "автоматический": HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN DOWS_TASK_SCHEDULER_PROCESS\ HKLM\SYSTEM\CurrentControlSet\Services\Windows Task Scheduler process\ Отключает через реестр различные функции защитных программ и защитные функции системы: HKLM\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify=1 HKLM\SOFTWARE\Microsoft\Security Center\AntiVirusOverride=1 HKLM\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify=1 HKLM\SOFTWARE\Microsoft\Security Center\FirewallOverride=1 HKLM\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify=1 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCScan=0 HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\D omainProfile\EnableFirewall=0 HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\S tandardProfile\EnableFirewall=0 HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUp date\DoNotAllowXPSP2=1 HKLM\SOFTWARE\Symantec\LiveUpdate Admin\Enterprise Security Manager=1 HKLM\SOFTWARE\Symantec\LiveUpdate Admin\Ghost=1 HKLM\SOFTWARE\Symantec\LiveUpdate Admin\Intruder Alert=1 HKLM\SOFTWARE\Symantec\LiveUpdate Admin\LiveAdvisor=1 HKLM\SOFTWARE\Symantec\LiveUpdate Admin\LiveUpdate=1 HKLM\SOFTWARE\Symantec\LiveUpdate Admin\NetRecon=1 HKLM\SOFTWARE\Symantec\LiveUpdate Admin\Norton AntiVirus Product Updates=1 HKLM\SOFTWARE\Symantec\LiveUpdate Admin\Norton AntiVirus Virus Definitions=1 HKLM\SOFTWARE\Symantec\LiveUpdate Admin\Norton CleanSweep=1 HKLM\SOFTWARE\Symantec\LiveUpdate Admin\Norton Commander=1 HKLM\SOFTWARE\Symantec\LiveUpdate Admin\Norton Internet Security=1 HKLM\SOFTWARE\Symantec\LiveUpdate Admin\Norton SystemWorks=1 HKLM\SOFTWARE\Symantec\LiveUpdate Admin\Norton Utilities=1 HKLM\SOFTWARE\Symantec\LiveUpdate Admin\PC Handyman and HealthyPC=1 HKLM\SOFTWARE\Symantec\LiveUpdate Admin\Rescue Disk=1 HKLM\SOFTWARE\Symantec\LiveUpdate Admin\SymEvent=1 HKLM\SOFTWARE\Symantec\LiveUpdate Admin\Symantec Desktop Firewall=1 HKLM\SOFTWARE\Symantec\LiveUpdate Admin\Symantec Gateway Security IDS=1 HKLM\SOFTWARE\Symantec\LiveUpdate Admin\pcANYWHERE=1 HKLM\SYSTEM\CurrentControlSet\Services\lanmanserve r\parameters\AutoShareServer=0 HKLM\SYSTEM\CurrentControlSet\Services\lanmanserve r\parameters\AutoShareWks=0 HKLM\SYSTEM\CurrentControlSet\Services\lanmanworks tation\parameters\AutoShareServer=0 HKLM\SYSTEM\CurrentControlSet\Services\lanmanworks tation\parameters\AutoShareWks=0 HKLM\SYSTEM\CurrentControlSet\Services\wscsvc\Star t=4 Защита Отключить функцию "Восстановление системы" (для Windows ME и XP) Полностью проверить систему антивирусом с обновлённой базой сигнатур Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe); восстановить значения изменённых ключей. Действие Создаёт на компьютере "чёрный ход", поддерживая связь с атакующим через IRC-сервер Загружает и выполняет дополнительный вредоносный код Собирает и отправляет атакующему важную информацию Распространяется, используя критические уязвимости в Windows к удалённому выполнению кода, не требующие вмешательства пользователя. Также копирует себя на совместно используемые сетевые ресурсы, защищённые слабыми паролями.

21.07.2007, 08:14	#44
lastmylove Злодей .. Пол: Регистрация: 09.06.2006 Сообщений: 5,045	Ответ: Вредоносное ПО W32/Rubble-A Признаки При старте копирует себя под именем win32.exe в системную директорию Windows. Записывает ссылку на себя в раздел автозагрузки реестра: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Load=%System%\win32.exe Распространяется, перезаписывая собой найденные исполняемые файлы (EXE) на всех дисках, включая съёмные. Защита Отключить функцию "Восстановление системы" (для Windows ME и XP) Полностью проверить систему антивирусом с обновлённой базой сигнатур Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe) Действие Распространяется перезаписыванием собой исполняемых файлов (EXE) на всех дисках, что может привести к неработоспособности системы после перезагрузки.

21.07.2007, 08:14	#45
lastmylove Злодей .. Пол: Регистрация: 09.06.2006 Сообщений: 5,045	Ответ: Вредоносное ПО Troj/Dorf-Gen Признаки Семейство троянов; при запуске копируют в директорию Windows файл драйвера с расширением SYS и регистрируют его в качестве сервиса с автоматической загрузкой при старте системы. Для регистрации сервиса создают в реестре запись: HKLM\SYSTEM\CurrentControlSet\Services\[ИМЯ_СЕРВИСА] Обычно различные варианты троянов семейства пытаются встроить код в файл services.exe. Создают пустой файл %System%\peers.ini, загружают из интернета и выполняют дополнительный вредоносный код, открывают на компьютере "чёрный ход", предоставляющий атакующему полный доступ к системе. Защита Отключить функцию "Восстановление системы" (для Windows ME и XP) Полностью проверить систему антивирусом с обновлённой базой сигнатур Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe) Действие Семейство троянов для Windows, открывающих в системе "чёрный ход".

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Rapidweaver 3.5: ОБЗОР и доп. темы	DoOo	Mac Os X	30	09.07.2016 15:08
Обзор мотоподвесов	ANGEL OF FIRE	Мотоподвесы и позиционеры	78	28.11.2013 21:11
ХР тюнинг (Обзор софта)	UlyssesD	Софт для изменения GUI/Design GUI	28	12.02.2011 13:12
Обзор шпионских программ	sternev	Хакинг в глобальной сети WWW	47	08.04.2008 10:27