Вредоносное ПО (Обзор)

[lastmylove]

Troj/DropRk-A

Признаки

При старте копирует себя в %Temp%\startdrv.exe, а также создаёт файл %System%\drivers\runtime2.sys. Последний представляет собой драйвер-руткит Troj/Rootkit-BI.

Устанавливает runtime2.sys в качестве системного сервиса с автоматическим запуском при старте системы. Для этого добавляет в реестр следующие записи:


HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RUN TIME2\
HKLM\SYSTEM\CurrentControlSet\Services\runtime2



Записывает ссылку на %Temp%\startdrv.exe в раздел реестра, отвечающий за автозагрузку:


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \startdrv="%Temp%\startdrv.exe"

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Устанавливает руткит Troj/Rootkit-BI, открывает в системе "чёрный ход", загружает из интернета и выполняет другой вредоносный код.

[lastmylove]

Troj/Agent-FYV

Признаки

При старте записывает в системную директорию Windows драйвер и библиотеку:

%System%\drivers\[СЛУЧАЙНОЕ_ИМЯ]94.sys
%System%\[СЛУЧАЙНОЕ_ИМЯ]94.dll

Регистрирует SYS-файл как системный сервис с режимом автоматической загрузки при старте системы. (Создаёт в реестре ветвь HKLM\SYSTEM\CurrentControlSet\Services\[СЛУЧАЙНОЕ_ИМЯ]94).

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Устанавливает в системе драйвер-руткит; открывает в системе "чёрный ход", загружает из интернета и выполняет другой вредоносный код.

[lastmylove]

Spyware.KeyloggerLite

Признаки

При установке создаёт директории:

%ProgramFiles%\Keylogger Lite
%UserProfile%\Start Menu\Programs\Keylogger Lite

Создаёт следующие файлы:

%UserProfile%\Desktop\Keylogger Lite.lnk
%UserProfile%\Start Menu\Programs\Keylogger Lite\Keylogger Lite.lnk
%UserProfile%\Start Menu\Programs\Keylogger Lite\Uninstall Keylogger Lite.lnk
%UserProfile%\Start Menu\Programs\Keylogger Lite\Visit the Official Keylogger Lite Website.lnk
%ProgramFiles%\Keylogger Lite\exp32.dll
%ProgramFiles%\Keylogger Lite\Keylogger Lite.exe
%ProgramFiles%\Keylogger Lite\Uninstall.exe
%ProgramFiles%\Keylogger Lite\Visit the Official Keylogger Lite Website.url

Создаёт следующие подключи в реестре:

HKEY_ALL_USERS\Software\ToolsAnywhere
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\Keylogger Lite.

Защита

Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Клавиатурный шпион: записывает ввод с клавиатуры в отдельный файл.

Источник: Symantec.com

[lastmylove]

Adware.Webbuy

Признаки

При запуске создаёт следующие файлы:

%ProgramFiles%\Web Buying\[ВЕРСИЯ]\Webbuying.exe
%System%\[СЛУЧАЙНОЕ ИМЯ].dll

[ВЕРСИЯ] может быть следующей: v1.0, v1.1, v1.2, v1.3, v1.4, v1.5, v1.5.1, v1.5.2, v1.5.3, v1.5.4, v1.5.5, v1.5.6, v1.5.7, v1.5.8, v1.5.9, v1.6.0, v1.6.1, v1.6.2, v1.6.3, v1.6.4, v1.6.5, v1.6.6, v1.6.7, v1.6.8, v1.6.9, v1.7.0, v1.7.1, v1.7.2, v1.7.3, v1.7.4.

Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте Windows:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"WebBuying" = "%ProgramFiles%\Web Buying\[ВЕРСИЯ]\Webbuying.exe"

Создаёт в реестре следующие подключи:

HKEY_CLASSES_ROOT\CLSID\{[СЛУЧАЙНЫЙ CLSID]}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{[СЛУЧАЙНЫЙ CLSID]}
HKEY_CURRENT_USER\Software\WebBuying

Для получения и отображения рекламы соединяется со следующим сайтом:
[http://]s.webbuying.net/e/sp.[УДАЛЕНО].

Защита

Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Вспомогательный объект браузера (Browser Helper Object), отображающий рекламу.
Требует ручной установки.

Источник: Symantec.com

[lastmylove]

W32.Phoney.A

Признаки

При запуске сохраняет себя как

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Empty.pif
%Windir%\Autorun.inf
%System%\web.exe
%Windir%\winxp.exe
%CurrentFolder%\[ИМЯ_ДИРЕКТОРИИ].exe

Копирует себя на подключенные сетевые диски под именем microsoft.exe и создаёт на этих дисках файл автозапуска autorun.inf со ссылкой на microsoft.exe.

Записывает в реестр ключи, обеспечивающие автозапуск при каждом старте системы:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\"Bron" = "%Windir%\winxp.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Rontok" = "Explorer.exe "%Windir%\winxp.exe""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Userinit" = "%System%\userinit.exe, %Windir%\winxp.exe"

Ослабляет настройки безопасности системы, а также запрещает пользователю доступ к Редактору реестра, Диспетчеру задач и другим функциям. Для этого модифицирует настройки в реестре:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer\"NoFolderOptions" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\System\"DisableRegistryTools" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\System\"DisableTaskMgr" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"Hidden" = "4"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"HideFileExt" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\"NoClose" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\"NoDesktop" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\"Nofolderoptions" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Network\"NoNetSetup" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"DisableCMD" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"DisableRegistryTools" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"DisableTaskMgr" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"NoDispCPL" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\WinOldApp\"Disable = "4"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\"Auto" = ""1""
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows NT\SystemRestore\"DisableConfig" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows NT\SystemRestore\"DisableSR" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Installer\"DisableMSI" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\Installer\"LimitSystemRestoreCheckpointing" = "1"



Перехватывает на себя команды запуска исполняемых файлов (BAT, COM, EXE, LNK, PIF). Модифицирует следующие записи в реестре:


HKEY_CLASSES_ROOT\batfile\shell\open\command\"(Def ault Value)" = ""%System%\web.exe" "%1" %*"
HKEY_CLASSES_ROOT\comfile\shell\open\command\"(Def ault Value)" = ""%System%\web.exe" "%1" %*"
HKEY_CLASSES_ROOT\exefile\"(Default Value)" = "File Folder" = ""%System%\web.exe" "%1" %*"
HKEY_CLASSES_ROOT\lnkfile\shell\open\command\"(Def ault Value)" = ""%System%\web.exe" "%1" %*"
HKEY_CLASSES_ROOT\piffile\shell\open\command\"(Def ault Value)" = ""%System%\web.exe" "%1" %*"



Обеспечивает себе автозагрузку в "Безопасном режиме":


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\"AlternateShell" = "%System%\web.exe"

Перезагружает компьютер каждые полчаса с 8 утра до 8:30 вечера.
Выводит сообщение от имени Norton Antivirus о том, что компьютер заражен Rontokbro.
Сообщение появляется по следующему расписанию:


08:13:10
08:48:10
09:17:10
09:51:10
10:10:10
10:46:10
11:19:10
11:38:10
12:12:10
12:49:10
13:41:10
14:06:10
14:27:10
15:15:10
15:54:10
16:10:10
16:43:10
17:16:10
17:42:10
18:17:10



Закрывает окна, содержащие в заголовке следующие подстроки:


ANT
ANTI
ASM
AVAST
AVS
BUG
CLEANER
CONF
DBG
DETEC
ESSET
Edit
Editor
Folder
INSTALL
KILL
Local
MCAFEE
NOD32
NORTON
NTVDM
OPEN
Options
PLAY
PROC
REG
REM
REMOV
REST
Registry
SAVE
SCAN
SETUP
Settings
TASK
UPDAT
UPG
VIR
VIRUS
W32
WALK



Закрывает окна следующих типов: ComboBox, ComboBoxEx32, RebarWindow32

Защита

Отключить функцию "Восстановление системы" (для Windows ME и XP)
Использовать инструмент для сброса подключей реестра shell\open\command, модифицированных вредоносной программой, либо модифицировать их вручную.
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые значения реестра (использовать regedit.exe)

Действие

Распространяется копированием себя на подключенные сетевые диски (mapped drives).
Ослабляет настройки безопасности в системе.

Источник: Symantec.com

[lastmylove]

W32/Rbot-GSJ

Признаки

Открывает в системе "чёрный ход" через IRC-сервер, обеспечивая доступ атакующего к зараженному компьютеру.

При первом запуске сохраняет себя как %System%\rundll.exe.

Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте системы:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Microsoft=rundll.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services\Microsoft=rundll.exe

Записывает в реестр следующий ключ:

HKCU\Software\ASProtect\Microsoft=rundll.exe

Защита

Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)

Действие

Распространяется копированием себя на совместно используемые сетевые диски.

Открывает "чёрный ход" на компьютере; загружает из интернета и запускает другой вредоносный код.

Ослабляет настройки безопасности системы.

Запускается после каждой загрузки системы.

Источник: Sophos.com

[lastmylove]

W32/Frawrm-A

Признаки

При первом запуске копирует себя как:
%Root%\recycler\systems.com
%System%\taskmger.com.
Создаёт файл %Root%\autorun.inf, который определяется как Mal/AutoInf-A

Обеспечивает свою автозагрузку, дописывая себя в реестр в качестве параметра к оболочке по умолчанию:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell=Explorer.exe taskmger.com

Отключает доступ пользователя к Диспетчеру задач и Редактору реестра:

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableTaskmgr=1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableRegistryTools=1

Защита

Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)

Действие

Распространяется копированием себя на совместно используемые сетевые диски и съёмные диски.

Источник: Sophos.com

[lastmylove]

W32/Sohana-Z

Признаки

При первом запуске копирует себя как:

%Windows%\SCVHOST.exe
%System%\SCVHOST.exe
%System%\blastclnnn.exe

Создаёт файл %System%\autorun.ini (файл определяется как Mal/AutoInf-A).

Записывает ссылку на себя в ключи реестра, отвечающие за автозагрузку приложений при старте системы:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Yahoo Messengger = %System%\SCVHOST.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell=Explorer.exe SCVHOST.exe

Отключает через реестр Диспетчер задач и Редактор реестра, а также удаляет пункт меню "Свойства папки" из меню "Настройка":

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableTaskMgr=1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableRegistryTools=1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NofolderOptions=1

Защита

Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые значения ключей (использовать regedit.exe)
Действие
Распространяется копированием себя на съёмные диски, сетевые диски и через программы чата.

Обладает следующим функционалом:

Открывает "чёрный ход" на зараженном компьютере
Ворует информацию, включая ввод с клавиатуры
Загружает из интернета и выполняет другой вредоносный код
Ослабляет настройки безопасности системы
Загружается автоматически при старте системы

Источник: Sophos.com

[lastmylove]

W32/Ircbot-WW

Признаки

При первом запуске копирует себя в системную директорию Windows (%System%) под именем u.exe.

Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте системы:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Office Monitor Word Exel R= %System%\u.exe

Отключает через реестр сервис DCOM и доступ к LSA анонимным пользователям, защищая компьютер от вредоносного кода, использующего уязвимости Windows в этих компонентах системы:

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM=N
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrict anonymous=1

Защита

Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой, восстановить все изменённые ключи (использовать regedit.exe)
Действие
Распространяется копированием себя на совместно используемые сетевые диски.

Открывает на компьютере "чёрный ход", подключаясь к IRC-серверу
Ворует информацию
Загружает из интернета и выполняет другой вредоносный код
Загружается автоматически при каждом старте системы

Источник: Sophos.com

[lastmylove]

W32.Mubla.B

Признаки

При первом запуске создаёт следующие файлы:


%System%\notiffy.dll
%System%\printers.exe



Через реестр регистрирует себя как COM-объект и объект загрузки оболочки:


HKEY_CURRENT_USER\Software\Microsoft\[СЛУЧАЙНЫЕ_БУКВЫ]\"[СЛУЧАЙНЫЕ_БУКВЫ_(ТЕ_ЖЕ)]" = "[ДВОИЧНЫЕ_ДАННЫЕ]"
HKEY_CLASSES_ROOT\CLSID\{[СЛУЧАЙНЫЙ CLSID]}\InProcServer32\"(Default Value)" = "notiffy.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad\"printers" = "{[СЛУЧАЙНЫЙ CLSID (ТОТ ЖЕ)]}"



Подключается к IRC серверу john.free4people.net и заходит на определённый канал.
Обеспечивает для атакующего возможность загружать и выполнять файлы на зараженном компьютере, а также воровать пароли.

Распространяется через MSN Live Messenger, предлагая пользователям ссылку на файл photosalbum-2007-5-26.scr, расположенный на FTP-сервере.

В качестве сопроводительного текста использует случайным образом одну из следующих строк:


You and Me !!! .... look :p
Look at my photos hihi :p
Hey please accept my photos :o !!
A photo with me and my best friend :$ !!
This is me totaly naked :o please dont send to anyone else
Look what i found on the NET :o Jessica Alba NUDE !!
images0
photos0
album
photo
pictures0
picture
bak sana Paris Hilton ne hale gelmis hapiste
Sen ve Ben !!! .... BAK :p
Baksana benim fotograflara hihi :p
Hey benim fotolarimi kabul et :o !!
Iyi arkadasimla fotorafdayim :$ !!
benim bu ciplak fotoda :o ama baskasina yollama
bak ne buldum :o Jessica alba ciplak !!
lle ai .t. jeter en prison
Toi et moi !!! .... regarde :p
Regarde mes photos :p
Hey s',27h,'il te plait accepte mes photos :o !!
Une photo de moi et mon meilleur ami :$ !!
envoie a personne d',27h,'autre
NU !!
Kijk hoe erg Paris Hilton er aan toe is na gevangenschap
Jij en Ik !!!! .... kijk :p
Kijk eens naar mijn fotos hihi :p
HEY !! accepteer mn fotos dan !
met mijn beste vriend op de foto !! :$
Dit ben ik naakt op de foto, stuur alsjeblieft niet door.
Kijk wat ik gevonden heb :o Jessica Alba naakt !!
aus dem knast ist
du und ich !!! ....guck :p
siehe meine fotos hihi :p
hey bitte nimm meine fotos an :o !!
ein foto mit meinem besten freund und mir :$ !!
das bin ich total nackt :o bitte sende es niemand anderem
!!
a
Tu ed io !!! .... guarda :p
Guardi le mie foto hihi :p
Mairee photos accept karo :o !!
Una foto con me ed il mio amico migliore :$ !!
Questa e me totaly nudo :o prego non trasmette a chiunque
A !!

Voc. e eu !!!! .... Veja :p
Veja as minhas fotos hehehe :p
Por favor aceite as minhas fotos :o !!
Uma foto com o meu melhor amigo e eu :$ !!
ingu.m
Olha o que eu achei na NET :o Jessica Alba NUA !!
kAN BA LI XI ER DUN JIN JIANYU HOU SHI DUO ME QIAOCUI
NI HE WO !!! .... QING KAN :p
KAN WO DE ZHAOPIAN :p
JIESHOU WO DE ZHAO PIAN :o !!
YI ZHANG WO GEN WO PENGYOU ZUI HAO DE ZHAOPIAN :$ !!
KAN WO DE ZHAOPIAN :p
ZHE SHI WO DE LUOZHAO :o QING BU YAO FA GEI BIEREN !!
Hey, acceptera mina bilder, sn.lla :o
En bild p. mig och min b.sta v.n :$ !!!
n.lla...
Kolla vad jag hittade p. n.tet :o Jessica Alba NAKEN !!
Ha aceptado mis fotos por favor :o !!
Una foto con mi mejor amigo e yo :$ !!
die
Mira lo que encontr. en la WEB :o Jessica Alba DESNUDA !!
Lede hvor spild Paris Hilton er efter hun fik f.ngsel
Jer og Mig !!! ... se :p
Se p. min fotos :p
Hej behage optage min foto :o !!
EN foto hos mig og min bedst ven :$ !!
il nogle :o
Lede hvad jeg fandt oven p. den net :o Jessica Alba bar !!



(По классификации Sophos называется W32/Kik-A)

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Распространяется, рассылая ссылки на себя через MSN Live Messenger; открывает на компьютере "чёрный ход" через канал IRC-сервера.

Источник: Symantec.com

[lastmylove]

W32/OutLaw-B

Признаки

При первом запуске копирует себя как:

%Root%\recycler\systems.com
%System%\taskmger.com

Копирует себя на все съёмные и сетевые диски как %Root%\recycler\systems.com и создаёт файл %Root%\autorun.inf, обеспечивающий автозапуск копии червя при подключении дисков к файловой системе. Последний файл определяется антивирусом Sophos как Mal/AutoInf-A.

В реестре дописывает своё имя в качестве параметра к оболочке по умолчанию (Explorer.exe), обеспечивая себе автозагрузку при каждом старте системы.


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = "Explorer.exe taskmger.com"

Отключает через реестр доступ пользователя к Диспетчеру задач и Редактору реестра:

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableTaskmgr=1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableRegistryTools=1

Псевдонимы W32/OutLaw-B: Virus.Win32.AutoRun.bd, W32/Generic.worm.j.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Распространяется копированием себя на съёмные и сетевые диски.

Запускается при каждом старте системы и находится в памяти в течение всего сеанса работы.

[lastmylove]

W32.Bratsters

Признаки

При первом запуске создаёт в системной директории Windows (%System%) файлы wnipsvr.exe и perefic.ini.

В корне всех дисков создаёт свою копию под именем hide.exe и файл autorun.inf, содержащий ссылку на hide.exe и обеспечивающий автозапуск червя при каждом подключении диска к системе.

Создаёт следующие записи в реестре:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Visual WEB\"Start" = "2" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Visual WEB\"ImagePath" = "%System%\wnipsvr.exe -run"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Visual WEB\"DisplayName" = "NetworSVSA"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Visual WEB\"Description" = "[СООБЩЕНИЕ_В_НЕИЗВЕСТНОЙ_КОДИРОВКЕ]"



Загружает с файлы с сайта [http://]cao.ganbibi.com и сохраняет их в директории с программами (%ProgramFiles%) под именами от 100 до 120 с расширением EXE.

Подключается также к сайту [http://]bratsersrock.com.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Распространяется копированием себя на все диски; загружает из интернета и выполняет другие вредоносные модули.

Источник: Symantec.com

[lastmylove]

W32.Imautorun

Признаки

При старте создаёт на всех дисках файлы с атрибутами "системный", "скрытый" и "только для чтения": msn.exe и autorun.inf. Последний содержит ссылку на msn.exe и обеспечивает автозагрузку при подключении диска к системе.

Создаёт в реестре следующий подключ:


HKEY_USERS\S-1-5-21-1607803123-1685539076-50495302-500\Software\VB and VBA Program Settings\adtuosa



Пытается загрузить файл с URL [http://]vstoo.cn/xxx/adtuo[УДАЛЕНО]

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Распространяется копированием себя на все доступные диски; загружает из интернета и выполняет другой потенциально вредоносный код.

Источник: Symantec.com

[lastmylove]

W32/Agobot-AIX

Признаки

Распространяется копированием себя на совместно используемые сетевые ресурсы.

Также использует для распространения критические уязвимости в Windows, RealNetworks и Symantec, эксплуатация которых не требует участия пользователя: LSASS (MS04-011), SRVSVC (MS06-040), RPC-DCOM (MS04-012), ASN.1 (MS04-007), RealVNC (CVE-2006-2369) и Symantec (SYM06-010).

Открывает на компьютере "чёрный ход", подключаясь к определённым каналам IRC-сервера.

При первом запуске копирует себя в %System%\winins.exe.

Отключает доступ к сайтам антивирусных компаний. Для этого в файле hosts сопоставляет имена сайтов IP-адресу локальной машины:


127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads5.kaspersky-labs.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.kaspersky-labs.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com



Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
В файле hosts удалить записи, отключающие доступ к антивирусным сайтам
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Распространяется посредством копирования себя на сетевые совместно используемые директории и эксплуатируя критические уязвимости в Windows к выполнению произвольного кода.

Ослабляет настройки безопасности системы.

Загружает из интернета другой вредоносный код.

Открывает в системе "чёрный ход".

[lastmylove]

Trojan.Firpage

Признаки

Распространяется в файлах с именами route.exe или update.exe; может быть загружен пользователем из интернета и требует ручного запуска.

При первом запуске создаёт файл-сценарий на VBScript с атрибутами "системный", "скрытый", "только для чтения" и "архив":


C:\Documents and Settings\Administrator\Local Settings\Temp\vbe.vbe



Открывает в браузере по умолчанию страницу с сообщением об ошибке ([http://]www.route24.de/error[УДАЛЕНО])

Записывает ссылку на VBE-файл в раздел реестра, отвечающий за однократный запуск приложений при загрузке системы - RunOnce (после запуска записанных в этот раздел файлов система автоматически удаляет запись из реестра):


HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce\"system32" = "WScript "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\vbe.vbe" [54 НЕОТОБРАЖАЕМЫХ СИМВОЛА]

Запущенный VBScript устанавливает стартовые страницы Microsoft Internet Explorer и Mozilla Firefox (если браузеры присутствуют в системе) на сайт [http://]www7.einfachstarten.com и удаляет себя.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Действие
Устанавливает новую стартовую страницу в браузерах Microsoft Internet Explorer и Mozilla Firefox на сайт [http://]www7.einfachstarten.com.

Источник: Symantec.com