Правила Форума редакция от 22.06.2020 |
|
|
|
|
|
Опции темы | Опции просмотра | Language |
21.07.2007, 09:14 | #46 |
Ответ: Вредоносное ПО
Troj/DropRk-A
Признаки При старте копирует себя в %Temp%\startdrv.exe, а также создаёт файл %System%\drivers\runtime2.sys. Последний представляет собой драйвер-руткит Troj/Rootkit-BI. Устанавливает runtime2.sys в качестве системного сервиса с автоматическим запуском при старте системы. Для этого добавляет в реестр следующие записи: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RUN TIME2\ HKLM\SYSTEM\CurrentControlSet\Services\runtime2 Записывает ссылку на %Temp%\startdrv.exe в раздел реестра, отвечающий за автозагрузку: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \startdrv="%Temp%\startdrv.exe" Защита Отключить функцию "Восстановление системы" (для Windows ME и XP) Полностью проверить систему антивирусом с обновлённой базой сигнатур Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe) Действие Устанавливает руткит Troj/Rootkit-BI, открывает в системе "чёрный ход", загружает из интернета и выполняет другой вредоносный код. |
|
Эти 2 пользователя(ей) сказали cпасибо за это полезное сообщение: |
Реклама: | Рекомендуем гипермаркет КНС.ру - HDL5A9102G5 - билеты на футбол в подарок каждому покупателю | теплоход до валаама | Flexbe и Roistat | Conecte Pipedrive a RD Station Marketing | KNSneva.ru - предлагает dh ipc hdbw2431fp as 0280b s2 - специальные условия для корпоративных клиентов в Санкт-Петербурге. |
21.07.2007, 09:15 | #47 |
Ответ: Вредоносное ПО
Troj/Agent-FYV
Признаки При старте записывает в системную директорию Windows драйвер и библиотеку: %System%\drivers\[СЛУЧАЙНОЕ_ИМЯ]94.sys %System%\[СЛУЧАЙНОЕ_ИМЯ]94.dll Регистрирует SYS-файл как системный сервис с режимом автоматической загрузки при старте системы. (Создаёт в реестре ветвь HKLM\SYSTEM\CurrentControlSet\Services\[СЛУЧАЙНОЕ_ИМЯ]94). Защита Отключить функцию "Восстановление системы" (для Windows ME и XP) Полностью проверить систему антивирусом с обновлённой базой сигнатур Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe) Действие Устанавливает в системе драйвер-руткит; открывает в системе "чёрный ход", загружает из интернета и выполняет другой вредоносный код. |
|
Сказали спасибо: |
24.07.2007, 09:03 | #48 |
Ответ: Вредоносное ПО
Spyware.KeyloggerLite
Признаки При установке создаёт директории: %ProgramFiles%\Keylogger Lite %UserProfile%\Start Menu\Programs\Keylogger Lite Создаёт следующие файлы: %UserProfile%\Desktop\Keylogger Lite.lnk %UserProfile%\Start Menu\Programs\Keylogger Lite\Keylogger Lite.lnk %UserProfile%\Start Menu\Programs\Keylogger Lite\Uninstall Keylogger Lite.lnk %UserProfile%\Start Menu\Programs\Keylogger Lite\Visit the Official Keylogger Lite Website.lnk %ProgramFiles%\Keylogger Lite\exp32.dll %ProgramFiles%\Keylogger Lite\Keylogger Lite.exe %ProgramFiles%\Keylogger Lite\Uninstall.exe %ProgramFiles%\Keylogger Lite\Visit the Official Keylogger Lite Website.url Создаёт следующие подключи в реестре: HKEY_ALL_USERS\Software\ToolsAnywhere HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\Keylogger Lite. Защита Отключить функцию "Восстановление системы" (для Windows ME и XP) Полностью проверить систему антивирусом с обновлённой базой сигнатур Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe) Действие Клавиатурный шпион: записывает ввод с клавиатуры в отдельный файл. Источник: Symantec.com |
|
Сказали спасибо: |
24.07.2007, 09:04 | #49 |
Ответ: Вредоносное ПО
Adware.Webbuy
Признаки При запуске создаёт следующие файлы: %ProgramFiles%\Web Buying\[ВЕРСИЯ]\Webbuying.exe %System%\[СЛУЧАЙНОЕ ИМЯ].dll [ВЕРСИЯ] может быть следующей: v1.0, v1.1, v1.2, v1.3, v1.4, v1.5, v1.5.1, v1.5.2, v1.5.3, v1.5.4, v1.5.5, v1.5.6, v1.5.7, v1.5.8, v1.5.9, v1.6.0, v1.6.1, v1.6.2, v1.6.3, v1.6.4, v1.6.5, v1.6.6, v1.6.7, v1.6.8, v1.6.9, v1.7.0, v1.7.1, v1.7.2, v1.7.3, v1.7.4. Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте Windows: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"WebBuying" = "%ProgramFiles%\Web Buying\[ВЕРСИЯ]\Webbuying.exe" Создаёт в реестре следующие подключи: HKEY_CLASSES_ROOT\CLSID\{[СЛУЧАЙНЫЙ CLSID]} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{[СЛУЧАЙНЫЙ CLSID]} HKEY_CURRENT_USER\Software\WebBuying Для получения и отображения рекламы соединяется со следующим сайтом: [http://]s.webbuying.net/e/sp.[УДАЛЕНО]. Защита Отключить функцию "Восстановление системы" (для Windows ME и XP) Полностью проверить систему антивирусом с обновлённой базой сигнатур Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe) Действие Вспомогательный объект браузера (Browser Helper Object), отображающий рекламу. Требует ручной установки. Источник: Symantec.com |
|
Сказали спасибо: |
24.07.2007, 09:07 | #50 |
Ответ: Вредоносное ПО
W32.Phoney.A
Признаки Защита Отключить функцию "Восстановление системы" (для Windows ME и XP) Использовать инструмент для сброса подключей реестра shell\open\command, модифицированных вредоносной программой, либо модифицировать их вручную. Полностью проверить систему антивирусом с обновлённой базой сигнатур Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые значения реестра (использовать regedit.exe) Действие Распространяется копированием себя на подключенные сетевые диски (mapped drives). Ослабляет настройки безопасности в системе. Источник: Symantec.com |
|
Сказали спасибо: |
24.07.2007, 09:07 | #51 |
Ответ: Вредоносное ПО
W32/Rbot-GSJ
Признаки Открывает в системе "чёрный ход" через IRC-сервер, обеспечивая доступ атакующего к зараженному компьютеру. При первом запуске сохраняет себя как %System%\rundll.exe. Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте системы: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Microsoft=rundll.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services\Microsoft=rundll.exe Записывает в реестр следующий ключ: HKCU\Software\ASProtect\Microsoft=rundll.exe Защита Отключить функцию "Восстановление системы" (для Windows ME и XP) Полностью проверить систему антивирусом с обновлённой базой сигнатур Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe) Действие Распространяется копированием себя на совместно используемые сетевые диски. Открывает "чёрный ход" на компьютере; загружает из интернета и запускает другой вредоносный код. Ослабляет настройки безопасности системы. Запускается после каждой загрузки системы. Источник: Sophos.com |
|
Сказали спасибо: |
24.07.2007, 09:08 | #52 |
Ответ: Вредоносное ПО
W32/Frawrm-A
Признаки При первом запуске копирует себя как: %Root%\recycler\systems.com %System%\taskmger.com. Создаёт файл %Root%\autorun.inf, который определяется как Mal/AutoInf-A Обеспечивает свою автозагрузку, дописывая себя в реестр в качестве параметра к оболочке по умолчанию: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell=Explorer.exe taskmger.com Отключает доступ пользователя к Диспетчеру задач и Редактору реестра: HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableTaskmgr=1 HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableRegistryTools=1 Защита Отключить функцию "Восстановление системы" (для Windows ME и XP) Полностью проверить систему антивирусом с обновлённой базой сигнатур Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe) Действие Распространяется копированием себя на совместно используемые сетевые диски и съёмные диски. Источник: Sophos.com |
|
Сказали спасибо: |
24.07.2007, 09:09 | #53 |
Ответ: Вредоносное ПО
W32/Sohana-Z
Признаки При первом запуске копирует себя как: %Windows%\SCVHOST.exe %System%\SCVHOST.exe %System%\blastclnnn.exe Создаёт файл %System%\autorun.ini (файл определяется как Mal/AutoInf-A). Записывает ссылку на себя в ключи реестра, отвечающие за автозагрузку приложений при старте системы: HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Yahoo Messengger = %System%\SCVHOST.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell=Explorer.exe SCVHOST.exe Отключает через реестр Диспетчер задач и Редактор реестра, а также удаляет пункт меню "Свойства папки" из меню "Настройка": HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableTaskMgr=1 HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableRegistryTools=1 HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NofolderOptions=1 Защита Отключить функцию "Восстановление системы" (для Windows ME и XP) Полностью проверить систему антивирусом с обновлённой базой сигнатур Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые значения ключей (использовать regedit.exe) Действие Распространяется копированием себя на съёмные диски, сетевые диски и через программы чата. Обладает следующим функционалом: Открывает "чёрный ход" на зараженном компьютере Ворует информацию, включая ввод с клавиатуры Загружает из интернета и выполняет другой вредоносный код Ослабляет настройки безопасности системы Загружается автоматически при старте системы Источник: Sophos.com |
|
Сказали спасибо: |
24.07.2007, 09:09 | #54 |
Ответ: Вредоносное ПО
W32/Ircbot-WW
Признаки При первом запуске копирует себя в системную директорию Windows (%System%) под именем u.exe. Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте системы: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Office Monitor Word Exel R= %System%\u.exe Отключает через реестр сервис DCOM и доступ к LSA анонимным пользователям, защищая компьютер от вредоносного кода, использующего уязвимости Windows в этих компонентах системы: HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM=N HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrict anonymous=1 Защита Отключить функцию "Восстановление системы" (для Windows ME и XP) Полностью проверить систему антивирусом с обновлённой базой сигнатур Удалить все ключи реестра, созданные вредоносной программой, восстановить все изменённые ключи (использовать regedit.exe) Действие Распространяется копированием себя на совместно используемые сетевые диски. Открывает на компьютере "чёрный ход", подключаясь к IRC-серверу Ворует информацию Загружает из интернета и выполняет другой вредоносный код Загружается автоматически при каждом старте системы Источник: Sophos.com |
|
Сказали спасибо: |
28.07.2007, 10:15 | #55 |
Ответ: Вредоносное ПО (Обзор)
|
|
Сказали спасибо: |
28.07.2007, 10:16 | #56 |
Ответ: Вредоносное ПО (Обзор)
|
|
Сказали спасибо: |
28.07.2007, 10:16 | #57 |
Ответ: Вредоносное ПО (Обзор)
|
|
Сказали спасибо: |
28.07.2007, 10:17 | #58 |
Ответ: Вредоносное ПО (Обзор)
|
|
Сказали спасибо: |
28.07.2007, 10:17 | #59 |
Ответ: Вредоносное ПО (Обзор)
|
|
Сказали спасибо: |
28.07.2007, 10:18 | #60 |
Ответ: Вредоносное ПО (Обзор)
|
|
Сказали спасибо: |
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Rapidweaver 3.5: ОБЗОР и доп. темы | DoOo | Mac Os X | 30 | 09.07.2016 16:08 |
Обзор мотоподвесов | ANGEL OF FIRE | Мотоподвесы и позиционеры | 78 | 28.11.2013 21:11 |
ХР тюнинг (Обзор софта) | UlyssesD | Софт для изменения GUI/Design GUI | 28 | 12.02.2011 13:12 |
Обзор шпионских программ | sternev | Хакинг в глобальной сети WWW | 47 | 08.04.2008 11:27 |
|
|