Компьютерный форум NoWa.cc Здесь может быть Ваша реклама
Правила Форума
редакция от 22.06.2020
Портал .::2BakSa.WS::.
Вернуться   Компьютерный форум NoWa.cc > Компьютеры и Интернет > Интернет партизаны > Антихакинг

Уважаемые пользователи nowa.cc и 2baksa.ws. У нас сложилось тяжёлое финансовое положение. Мы работаем для вас вот уже более 15 лет и сейчас вынуждены просить о помощи. Окажите посильную поддержку проектам. Мы очень надеемся на вас. Реквизиты для переводов ниже.
Webmoney Webmoney WMZ: 826074280762 Webmoney WME: 804621616710
PayPal PayPal_Email E-mail для связи по вопросу помощи
Кошелёк для вашей помощи YooMoney 4100117770549562
YooMoney Спасибо за поддержку!
Ответ
 
Опции темы Опции просмотра Language
Старый 21.07.2007, 09:14   #46
lastmylove
Злодей ..
 
Аватар для lastmylove
 
Пол:Мужской
Регистрация: 09.06.2006
Сообщений: 5,045
По умолчанию Ответ: Вредоносное ПО

Troj/DropRk-A

Признаки

При старте копирует себя в %Temp%\startdrv.exe, а также создаёт файл %System%\drivers\runtime2.sys. Последний представляет собой драйвер-руткит Troj/Rootkit-BI.

Устанавливает runtime2.sys в качестве системного сервиса с автоматическим запуском при старте системы. Для этого добавляет в реестр следующие записи:


HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RUN TIME2\
HKLM\SYSTEM\CurrentControlSet\Services\runtime2



Записывает ссылку на %Temp%\startdrv.exe в раздел реестра, отвечающий за автозагрузку:


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \startdrv="%Temp%\startdrv.exe"

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Устанавливает руткит Troj/Rootkit-BI, открывает в системе "чёрный ход", загружает из интернета и выполняет другой вредоносный код.
lastmylove вне форума
 
Ответить с цитированием Вверх
Эти 2 пользователя(ей) сказали cпасибо за это полезное сообщение:
Здесь может быть Ваша реклама
Здесь может быть Ваша реклама


Реклама: Рекомендуем гипермаркет КНС.ру - HDL5A9102G5 - билеты на футбол в подарок каждому покупателютеплоход до валаамаFlexbe и RoistatConecte Pipedrive a RD Station MarketingKNSneva.ru - предлагает dh ipc hdbw2431fp as 0280b s2 - специальные условия для корпоративных клиентов в Санкт-Петербурге.


Старый 21.07.2007, 09:15   #47
lastmylove
Злодей ..
 
Аватар для lastmylove
 
Пол:Мужской
Регистрация: 09.06.2006
Сообщений: 5,045
По умолчанию Ответ: Вредоносное ПО

Troj/Agent-FYV

Признаки

При старте записывает в системную директорию Windows драйвер и библиотеку:

%System%\drivers\[СЛУЧАЙНОЕ_ИМЯ]94.sys
%System%\[СЛУЧАЙНОЕ_ИМЯ]94.dll

Регистрирует SYS-файл как системный сервис с режимом автоматической загрузки при старте системы. (Создаёт в реестре ветвь HKLM\SYSTEM\CurrentControlSet\Services\[СЛУЧАЙНОЕ_ИМЯ]94).

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Устанавливает в системе драйвер-руткит; открывает в системе "чёрный ход", загружает из интернета и выполняет другой вредоносный код.
lastmylove вне форума
 
Ответить с цитированием Вверх
Старый 24.07.2007, 09:03   #48
lastmylove
Злодей ..
 
Аватар для lastmylove
 
Пол:Мужской
Регистрация: 09.06.2006
Сообщений: 5,045
По умолчанию Ответ: Вредоносное ПО

Spyware.KeyloggerLite

Признаки

При установке создаёт директории:

%ProgramFiles%\Keylogger Lite
%UserProfile%\Start Menu\Programs\Keylogger Lite

Создаёт следующие файлы:

%UserProfile%\Desktop\Keylogger Lite.lnk
%UserProfile%\Start Menu\Programs\Keylogger Lite\Keylogger Lite.lnk
%UserProfile%\Start Menu\Programs\Keylogger Lite\Uninstall Keylogger Lite.lnk
%UserProfile%\Start Menu\Programs\Keylogger Lite\Visit the Official Keylogger Lite Website.lnk
%ProgramFiles%\Keylogger Lite\exp32.dll
%ProgramFiles%\Keylogger Lite\Keylogger Lite.exe
%ProgramFiles%\Keylogger Lite\Uninstall.exe
%ProgramFiles%\Keylogger Lite\Visit the Official Keylogger Lite Website.url

Создаёт следующие подключи в реестре:

HKEY_ALL_USERS\Software\ToolsAnywhere
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\Keylogger Lite.

Защита

Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Клавиатурный шпион: записывает ввод с клавиатуры в отдельный файл.

Источник: Symantec.com
lastmylove вне форума
 
Ответить с цитированием Вверх
Старый 24.07.2007, 09:04   #49
lastmylove
Злодей ..
 
Аватар для lastmylove
 
Пол:Мужской
Регистрация: 09.06.2006
Сообщений: 5,045
По умолчанию Ответ: Вредоносное ПО

Adware.Webbuy

Признаки

При запуске создаёт следующие файлы:

%ProgramFiles%\Web Buying\[ВЕРСИЯ]\Webbuying.exe
%System%\[СЛУЧАЙНОЕ ИМЯ].dll

[ВЕРСИЯ] может быть следующей: v1.0, v1.1, v1.2, v1.3, v1.4, v1.5, v1.5.1, v1.5.2, v1.5.3, v1.5.4, v1.5.5, v1.5.6, v1.5.7, v1.5.8, v1.5.9, v1.6.0, v1.6.1, v1.6.2, v1.6.3, v1.6.4, v1.6.5, v1.6.6, v1.6.7, v1.6.8, v1.6.9, v1.7.0, v1.7.1, v1.7.2, v1.7.3, v1.7.4.

Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте Windows:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"WebBuying" = "%ProgramFiles%\Web Buying\[ВЕРСИЯ]\Webbuying.exe"

Создаёт в реестре следующие подключи:

HKEY_CLASSES_ROOT\CLSID\{[СЛУЧАЙНЫЙ CLSID]}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{[СЛУЧАЙНЫЙ CLSID]}
HKEY_CURRENT_USER\Software\WebBuying

Для получения и отображения рекламы соединяется со следующим сайтом:
[http://]s.webbuying.net/e/sp.[УДАЛЕНО].

Защита

Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)
Действие
Вспомогательный объект браузера (Browser Helper Object), отображающий рекламу.
Требует ручной установки.

Источник: Symantec.com
lastmylove вне форума
 
Ответить с цитированием Вверх
Старый 24.07.2007, 09:07   #50
lastmylove
Злодей ..
 
Аватар для lastmylove
 
Пол:Мужской
Регистрация: 09.06.2006
Сообщений: 5,045
По умолчанию Ответ: Вредоносное ПО

W32.Phoney.A

Признаки

Защита

Отключить функцию "Восстановление системы" (для Windows ME и XP)
Использовать инструмент для сброса подключей реестра shell\open\command, модифицированных вредоносной программой, либо модифицировать их вручную.
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые значения реестра (использовать regedit.exe)

Действие

Распространяется копированием себя на подключенные сетевые диски (mapped drives).
Ослабляет настройки безопасности в системе.

Источник: Symantec.com
lastmylove вне форума
 
Ответить с цитированием Вверх
Старый 24.07.2007, 09:07   #51
lastmylove
Злодей ..
 
Аватар для lastmylove
 
Пол:Мужской
Регистрация: 09.06.2006
Сообщений: 5,045
По умолчанию Ответ: Вредоносное ПО

W32/Rbot-GSJ

Признаки

Открывает в системе "чёрный ход" через IRC-сервер, обеспечивая доступ атакующего к зараженному компьютеру.

При первом запуске сохраняет себя как %System%\rundll.exe.

Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте системы:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Microsoft=rundll.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services\Microsoft=rundll.exe

Записывает в реестр следующий ключ:

HKCU\Software\ASProtect\Microsoft=rundll.exe

Защита

Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)

Действие

Распространяется копированием себя на совместно используемые сетевые диски.

Открывает "чёрный ход" на компьютере; загружает из интернета и запускает другой вредоносный код.

Ослабляет настройки безопасности системы.

Запускается после каждой загрузки системы.

Источник: Sophos.com
lastmylove вне форума
 
Ответить с цитированием Вверх
Старый 24.07.2007, 09:08   #52
lastmylove
Злодей ..
 
Аватар для lastmylove
 
Пол:Мужской
Регистрация: 09.06.2006
Сообщений: 5,045
По умолчанию Ответ: Вредоносное ПО

W32/Frawrm-A

Признаки

При первом запуске копирует себя как:
%Root%\recycler\systems.com
%System%\taskmger.com.
Создаёт файл %Root%\autorun.inf, который определяется как Mal/AutoInf-A

Обеспечивает свою автозагрузку, дописывая себя в реестр в качестве параметра к оболочке по умолчанию:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell=Explorer.exe taskmger.com

Отключает доступ пользователя к Диспетчеру задач и Редактору реестра:

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableTaskmgr=1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableRegistryTools=1

Защита

Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой (использовать regedit.exe)

Действие

Распространяется копированием себя на совместно используемые сетевые диски и съёмные диски.

Источник: Sophos.com
lastmylove вне форума
 
Ответить с цитированием Вверх
Старый 24.07.2007, 09:09   #53
lastmylove
Злодей ..
 
Аватар для lastmylove
 
Пол:Мужской
Регистрация: 09.06.2006
Сообщений: 5,045
По умолчанию Ответ: Вредоносное ПО

W32/Sohana-Z

Признаки

При первом запуске копирует себя как:

%Windows%\SCVHOST.exe
%System%\SCVHOST.exe
%System%\blastclnnn.exe

Создаёт файл %System%\autorun.ini (файл определяется как Mal/AutoInf-A).

Записывает ссылку на себя в ключи реестра, отвечающие за автозагрузку приложений при старте системы:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run \Yahoo Messengger = %System%\SCVHOST.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell=Explorer.exe SCVHOST.exe

Отключает через реестр Диспетчер задач и Редактор реестра, а также удаляет пункт меню "Свойства папки" из меню "Настройка":

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableTaskMgr=1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableRegistryTools=1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NofolderOptions=1

Защита

Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые значения ключей (использовать regedit.exe)
Действие
Распространяется копированием себя на съёмные диски, сетевые диски и через программы чата.

Обладает следующим функционалом:

Открывает "чёрный ход" на зараженном компьютере
Ворует информацию, включая ввод с клавиатуры
Загружает из интернета и выполняет другой вредоносный код
Ослабляет настройки безопасности системы
Загружается автоматически при старте системы

Источник: Sophos.com
lastmylove вне форума
 
Ответить с цитированием Вверх
Старый 24.07.2007, 09:09   #54
lastmylove
Злодей ..
 
Аватар для lastmylove
 
Пол:Мужской
Регистрация: 09.06.2006
Сообщений: 5,045
По умолчанию Ответ: Вредоносное ПО

W32/Ircbot-WW

Признаки

При первом запуске копирует себя в системную директорию Windows (%System%) под именем u.exe.

Записывает ссылку на себя в раздел реестра, отвечающий за автозагрузку приложений при старте системы:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Office Monitor Word Exel R= %System%\u.exe

Отключает через реестр сервис DCOM и доступ к LSA анонимным пользователям, защищая компьютер от вредоносного кода, использующего уязвимости Windows в этих компонентах системы:

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM=N
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrict anonymous=1

Защита

Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой, восстановить все изменённые ключи (использовать regedit.exe)
Действие
Распространяется копированием себя на совместно используемые сетевые диски.

Открывает на компьютере "чёрный ход", подключаясь к IRC-серверу
Ворует информацию
Загружает из интернета и выполняет другой вредоносный код
Загружается автоматически при каждом старте системы

Источник: Sophos.com
lastmylove вне форума
 
Ответить с цитированием Вверх
Старый 28.07.2007, 10:15   #55
lastmylove
Злодей ..
 
Аватар для lastmylove
 
Пол:Мужской
Регистрация: 09.06.2006
Сообщений: 5,045
По умолчанию Ответ: Вредоносное ПО (Обзор)

W32.Mubla.B

Признаки
Источник: Symantec.com
lastmylove вне форума
 
Ответить с цитированием Вверх
Старый 28.07.2007, 10:16   #56
lastmylove
Злодей ..
 
Аватар для lastmylove
 
Пол:Мужской
Регистрация: 09.06.2006
Сообщений: 5,045
По умолчанию Ответ: Вредоносное ПО (Обзор)

W32/OutLaw-B

Признаки
lastmylove вне форума
 
Ответить с цитированием Вверх
Старый 28.07.2007, 10:16   #57
lastmylove
Злодей ..
 
Аватар для lastmylove
 
Пол:Мужской
Регистрация: 09.06.2006
Сообщений: 5,045
По умолчанию Ответ: Вредоносное ПО (Обзор)

W32.Bratsters

Признаки
Источник: Symantec.com
lastmylove вне форума
 
Ответить с цитированием Вверх
Старый 28.07.2007, 10:17   #58
lastmylove
Злодей ..
 
Аватар для lastmylove
 
Пол:Мужской
Регистрация: 09.06.2006
Сообщений: 5,045
По умолчанию Ответ: Вредоносное ПО (Обзор)

W32.Imautorun

Признаки
Источник: Symantec.com
lastmylove вне форума
 
Ответить с цитированием Вверх
Старый 28.07.2007, 10:17   #59
lastmylove
Злодей ..
 
Аватар для lastmylove
 
Пол:Мужской
Регистрация: 09.06.2006
Сообщений: 5,045
По умолчанию Ответ: Вредоносное ПО (Обзор)

W32/Agobot-AIX

Признаки
lastmylove вне форума
 
Ответить с цитированием Вверх
Старый 28.07.2007, 10:18   #60
lastmylove
Злодей ..
 
Аватар для lastmylove
 
Пол:Мужской
Регистрация: 09.06.2006
Сообщений: 5,045
По умолчанию Ответ: Вредоносное ПО (Обзор)

Trojan.Firpage

Признаки
lastmylove вне форума
 
Ответить с цитированием Вверх
Ответ


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Rapidweaver 3.5: ОБЗОР и доп. темы DoOo Mac Os X 30 09.07.2016 16:08
Обзор мотоподвесов ANGEL OF FIRE Мотоподвесы и позиционеры 78 28.11.2013 21:11
ХР тюнинг (Обзор софта) UlyssesD Софт для изменения GUI/Design GUI 28 12.02.2011 13:12
Обзор шпионских программ sternev Хакинг в глобальной сети WWW 47 08.04.2008 11:27

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 06:20. Часовой пояс GMT +3.


Copyright ©2004 - 2024 2BakSa.WS

Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2024, vBulletin Solutions, Inc. Перевод: zCarot
Время генерации страницы 0.28159 секунды с 11 запросами