Вредоносное ПО (Обзор)

[lastmylove]

W32/VBLame-D
Признаки, действие и защита

При первом запуске копирует себя как:


\Terlalu indah.exe
\Documents and Settings\Administrator\Application Data\Kau dan aku.exe
\Documents and Settings\Administrator\Local Settings\Cinta membawamu kembali.exe
\Documents and Settings\Administrator\Local Settings\Application Data\Di balas dengan dusta.exe
\Documents and Settings\Administrator\My Documents\Tercipta untukmu.exe
\Documents and Settings\Administrator\My Documents\My Pictures\Cintailah cinta.exe
%User%\Application Data\Intrik cinta.exe
%User%\Documents\Kau pilih dia.exe
%User%\Documents\My Pictures\Ada apa dengan cinta.exe
%Startup%\Loadme.pif
%System%\Bitch.exe
%System%\Liar.exe
%System%\Svseehost.exe



Записывает в реестр ссылки на автозапуск Bitch.exe, Liar.exe и Svseehost.exe:


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \BITCH=%System%\Bitch.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \LIAR=%System%\Liar.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \SVSEEHOST=%System%\Svseehost.exe



Отключает отображение скрытых файлов и директорий, а также отображение расширений файлов в Проводнике (Explorer):


HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Hidden = 2
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\HideFileExt = 1
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\ShowSuperHidden = 0



Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Распространяется копированием себя на съёмные диски.

Ослабляет настройки безопасности системы.

Загружает из интернета и выполняет другой вредоносный код.

[lastmylove]

W32.Vispat.C@mm

Признаки, действие и защита

При первом запуске создает следующие файлы:


%UserProfile%\Application Data\Microsoft\Address Book\[ИМЯ_ПОЛЬЗОВАТЕЛЯ].wab
%UserProfile%\Local Settings\Application Data\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Microsoft\Outlook Express\Folders.dbx
%UserProfile%\Local Settings\Application Data\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Microsoft\Outlook Express\Inbox.dbx
%UserProfile%\Local Settings\Application Data\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Microsoft\Outlook Express\Offline.dbx
%System%\officeparam.dll
%System%\scansvc\trust\documenti_personali.exe
%System%\windowslite.pbk
%SystemDrive%\documenti.zip



Обеспечивает себе автозагрузку при каждом старте системы, записываясь в соответствующий раздел реестра:


HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"documenti_personali.exe" = "%System%\scansvc\trust\documenti_personali.ex e"



Заменяет через реестр стартовую страницу Microsoft Internet Explorer:


HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page" = "[http://]www.katasearch.com"



Добавляет в зону "Доверенных узлов" сайты:


[http://]foto-personali.name
[http://]katasearch.com
[http://]tuttoavolonta.com



Записывает их в реестре в раздел


HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\ZoneMap\Domains



Через реестр ослабляет настройки безопасности "Доверенной зоны" Microsoft Internet Explorer:


HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\Zones\2\"MinLevel" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\Zones\2\"RecommendedLevel" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\Zones\2\"1001" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\Zones\2\"1004" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\Zones\2\"1200" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\Zones\2\"1201" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\Zones\2\"1400" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\Zones\2\"1402" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\Zones\2\"1405" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\Zones\2\"1406" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\Zones\2\"1407" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\Zones\2\"1609" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\Zones\2\"1800" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\Zones\2\"1803" = "0"



Отключает через реестр отображение скрытых файлов и директорий


HKEY_CURRENT_USER\software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"Hidden" = "0"
HKEY_CURRENT_USER\software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
HKEY_CURRENT_USER\software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"SuperHidden" = "0"



Создает в реестре подключ, который заставляет Internet Explorer запускаться и открывать сайт [http://]foto-personali.name при открытии директории Immagini.


HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16C7013 F-912E-42ac-AA8E-A10A180DFF51}



Червь может создавать один или несколько файлов-ярлыков, ведущих к сайтам, которые прописаны в "Доверенной зоне":


%UserProfile%\Desktop\Foto Personali.lnk
%UserProfile%\Desktop\Microsoft IE Link.lnk
%UserProfile%\Start Menu\Foto Personali.lnk



Создает через реестр новую почтовую учетную запись в Outlook Express:


HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\"SpellDontIgnoreDBCS" = "1"
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\"MSIMN" = "1"
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\"StoreMigratedV5" = "1"
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\"ConvertedToDBX" = "1"
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\"Settings Upgraded" = "7"
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\"Running" = "1"
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\"Store Root" = "%UserProfile%\Local Settings\Application Data\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Microsoft\Outlook Express\"
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\Mail\"Welcome Message" = "0"
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\Mail\"Accounts Checked" = "00 00 00 00"
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\Mail\"Safe Attachments" = "1"
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\Mail\"Secure Safe Attachments" = "1"
HKEY_CURRENT_USER\Identities\{43AECEA6-69DE-474B-AC86-21D837FC310A}\Software\Microsoft\Outlook Express\5.0\News\"Accounts Checked" = "00 00 00 00"
HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\"ConnectionSettingsMigrated" = "1"
HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\Wab File Name\"(Default)" = "%UserProfile%\Application Data\Microsoft\Address Book\[ИМЯ_ПОЛЬЗОВАТЕЛЯ].wab"
HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\"Olk ContactRefresh" = "0"
HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\"Olk FolderRefresh" = "0"



Сканирует Адресную книгу Windows (Windows Address Book) и письма в Outlook Express, собирая адреса электронной почты.

Рассылает себя по собранным адресам, отправляя письмо с темой "Guarda che stai rompendo !".
Текст сообщения:



Non capisco perch
continui a mandarmi certe cose
controlla il contenuto della fattura in allegato e se non ti dovessere essere troppo chiaro ti consiglio vivamente di scaricare l'intera documentazione che ti riguarda sul sito di amministrazione.



spero che non si ripetano errori come questo



saluti



Сообщение содержит ссылку на сайт [http://]www.sicure-mail.com/download/lista_doc[УДАЛЕНО] и вложение documenti.zip.

Псевдонимы: W32/Domamo@mm (McAfee), Email-Worm.Win32.Brizol.a (Kaspersky), Email-Worm.Win32.Brizol.a (F-Secure).

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Червь для платформы Windows.
Распространяется рассылкой своих копий по адресам электронной почты, найденным на захваченном компьютере.
Заменяет стартовую страницу Microsoft Internet Explorer.
Ослабляет настройки безопасности Microsoft Internet Explorer.

Источник: Symantec.com

[lastmylove]

W32.Spybot.ATZN

Признаки, действие и защита

При первом запуске копирует себя как %Windir%\system\svchost32.exe.

Создает мутекс Aj8USjso для обеспечения однократного присутствия своей копии в памяти.

Регистрирует svchost32.exe как сервис:
Имя сервиса: SvcHost32
Отображаемое имя: Windows Network Services
Тип запуска: Автоматический

Для сервиса в реестре создается подключ


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Shell Extensions\"windowsless" = "[ПУТЬ_К_ЧЕРВЮ]"



Отключает через реестр сервисы DCOM, LSA и отключает XP SP2:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\"EnableD COM" = "N"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Lsa\"restrictanonymous" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dows\WindowsUpdate\"DoNotAllowXPSP2" = "1"



Ослабляет через реестр настройки безопасности системы:


HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dowsFirewall\StandardProfile\"EnableFirewall" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win dowsFirewall\DomainProfile\"EnableFirewall" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"AntivirusDisableNotify" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"AntiVirusOverride" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"FirewallDisableNotify" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\"FirewallOverride" = "1"



Отключает через реестр автозапуск определенных сервисов:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Messenger\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\RemoteRegistry\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\TlntSvr\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\wscsvc\"Start" = "4"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanserver\parameters\"AutoShareServer" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanserver\parameters\"AutoShareWks" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanworkstation\parameters\"AutoShareServer" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\lanmanworkstation\parameters\"AutoShareWks" = "0"



Подключается к IRC-серверу te.arrancar.org:22777.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Червь для платформы Windows. Распространяется, используя критические уязвимости в Windows к удаленному выполнению произвольного кода, не требующие участия пользователя: DCOM-RPC (MS03-026), PnP (MS05-039) и ASN.1 (MS04-007), а также в продукте Trend Micro ServerProtect, обнаруженную 23 августа 2007 г., переполнение буфера в Mercury Mail Transport System AUTH CRAM-MD5.

Также распространяется копированием себя на удаленные сетевые совместно используемые директории, подбирает пароли к защищенным ресурсам.

Открывает на компьютере "черный ход", подключаясь к IRC-серверу, предоставляя атакующему следующие возможности:


Копирование и удаление файлов
Загрузка файла
Отображение состояния
Отображение IP-адреса
Сканирование портов в сети
Запуск ftpd
Завершение процессов
Получение списка процессов

Источник: Symantec.com

[lastmylove]

Trojan.Ascesso

Признаки, действие и защита

При первом запуске пытается загрузить свои драйверы в память ядра (Kernel). Для этого просматривает список системных сервисов в подключе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es на предмет сервисов, работающих в режиме ядра и имеющих тип запуска "автоматический" (например, Beep.sys).

Если подходящий сервис найден, троян делает его резервную копию в памяти, перезаписывает файл на диске своим драйвером (*.sys) длиной в 63 КБ и перезапускает сервис для того, чтобы загрузился драйвер трояна. Затем троян восстанавливает старый файл.

В случае успешной загрузки троянского драйвера создается файл


%System%\drivers\asc3550[СЛУЧАЙНАЯ_БУКВА].sys



(Примечание: asc3550 и asc3550p - легитимные драйвера, относящиеся к Windows)

Для драйвера создаются следующие записи в реестре:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\asc3550[СЛУЧАЙНАЯ_БУКВА]\"ErrorControl" = "0x0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\asc3550[СЛУЧАЙНАЯ_БУКВА]\"Start" = "0x2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\asc3550[СЛУЧАЙНАЯ_БУКВА]\"Tag" = "0x55"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\asc3550[СЛУЧАЙНАЯ_БУКВА]\"Type" = "0x1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\asc3550[СЛУЧАЙНАЯ_БУКВА]\"Group" = "SCSI miniport"



Для сокрытия себя в системе использует следующие технологии руткитов:


Перехватывает функцию "iofCallDriver" в kernel
Модифицирует TCPIP.SYS и WANARP.SYS для обхода брандмауэров
Использует функцию "CmRegisterCallback" для регистрации функции, скрывающей его ключи в реестре



Когда троян активен, файл драйвера %System%\drivers\asc3550[СЛУЧАЙНАЯ_БУКВА].sys удаляется и временно копируется в %Windir%\smsys.dat.

Для восстановления драйвера после перезагрузки системы использует механизм Windows отложенного переименования/перемещения файлов. Записывает в реестр:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Session Manager\"PendingFileRenameOperations" = "%SystemRoot%smsys.dat %SystemRoot%System32\drivers\asc3550[СЛУЧАЙНАЯ_БУКВА].sys"



Может также создавать подключи реестра:


HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersio n\WinSetup
HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersio n\WinOpts



"Полезная нагрузка" трояна - код, выполняющий действия, указанные атакующим, внедряется в память процесса SERVICES.EXE, а именно:

Загрузить и выполнить файл, сохранив его в %System%\[СЛУЧАЙНЫЕ_ЦИФРЫ]ld.exe

Получить настройки и инструкции с удаленного сервера

Загрузить свое обновление

Разослать спам и попытаться подключиться к SMTP-серверам mindspring.com, microsoft.com, yahoo.com, a.mx.mail.yahoo.com, maila.microsoft.com.

Несколько раз послать пакет следующего содержания по UDP:1900:

mailin-01.mx.aol.com
M-SEARCH * HTTP/1.1
HOST: 239.255.255.250:1900
ST: [VALUE]
MAN: ssdp:discover
MX: 3


[VALUE] - одно из следующих значений:


"urn:schemas-upnp-org:device:InternetGatewayDevice:1"
"urn:schemas-upnp-org:device:WANIPConnection:1"
"urn:schemas-upnp-org:device:WANPPPConnection:1"



Может загрузить удаленный файл и скопировать его в директорию общего доступа P2P-сетей Kazaa, iMesh или Morpheus под одним из имен:


BeboTV_setup.exe
Myspace_setup.exe
Myspace_searcher.exe
Myspace_people.exe
MSDN_loader.exe
Opera_install.exe
IE7.exe
WinXP SP2 crack.exe
PGP serial code.exe
Opera_9.10_International_Setup.exe
Windows Vista keygen.exe
World cup viewer.exe
metacafe_submit.exe
metacafe_play_video.exe
Metacafe4Windows.exe
radioblog_join.exe
Wikipedia_setup.exe



Пытается загружать файлы со следующих URL:


[http://]208.72.168.164
[http://]208.66.194.7:8080/404[???]
[http://]208.66.194.7:8080/405[???]
[http://]www.gamers-basement.be/tmp/18.[???]
[http://]208.66.194.7/sp_m3_v1[???]



Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Троян для платформы Windows. Использует технологию руткитов для сокрытия себя в системе, внедряется в процесс services.exe. Загружает из интернета дополнительный вредоносный код.

Источник: Symantec.com

[lastmylove]

Troj/VidCach-B

Признаки, действие и защита

Некоторые компоненты трояна регистрируются как COM-объекты; в реестре для них создаются следующие разделы:


HKCR\CLSID\{150EA8E7-A97C-4816-AD02-4865EEF8C5FF}
HKCR\CLSID\{BABA5BDB-4EFF-48DB-B443-679651D37128}
HKCR\Interface\{B6A3935F-8FE4-49A4-B987-A1C09E53589F}
HKCR\Interface\{EF94A58F-599B-4602-9C34-99683C5859B1}
HKCR\TypeLib\{CDC0999C-999C-4EE1-875B-5C3542641768}

Некоторые элементы реестра, относящиеся к компонентам трояна, называются "NewMediaCodec" или "_DNewMediaCodec". Также трояном создаются следующие разделы:


HKCR\VAC.Video
HKLM\SOFTWARE\Microsoft\VideoPlugin

Псевдонимы:


not-a-virus:AdWare.Win32.Agent.el
Trojan.Win32.Agent.aqj
AdClicker-FC trojan
TrojanDownloader:Win32/Zlob.gen!M
TrojanDownloader:Win32/Zlob.gen!K
Trojan:Win32/Agent.gen!L

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Троян для платформы Windows. Поступает на компьютер при помощи других вредоносных программ. Устанавливается как Вспомогательный объект браузера Microsoft Internet Explorer, получая контроль над происходящими в нем событиями.

[lastmylove]

Troj/Bckdr-QJL

Признаки, действие и защита

При запуске троян регистрирует себя как системный сервис "DomainService" с таким же отображаемым именем и автоматическим типом запуска. Для сервиса создается следующий раздел реестра:


HKLM\SYSTEM\CurrentControlSet\Services\DomainServi ce

Отключает через реестр проверку целостности системных файлов:


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
SFCDisable = 4

Создает в реестре раздел HKLM\SOFTWARE\Microsoft\DomainService для собственных нужд.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Найти и остановить сервис.
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Троян для платформы Windows. Устанавливает на компьютере "черный ход", предоставляя атакующему доступ к системе, в частности, может загружать через HTTP и выполнять другой вредоносный код.

[lastmylove]

MSNFunny.B

Признаки, действие и защита

Действия червя:

Загружает на компьютер следующие модули:


Модуль дозвона на платные номера Dialer.KOS
Модуль Cookie/Atlas.DMT, ворующий куки и отправляющий их атакующему
Модуль Trj/Sfc.A.mod, отключающий защиту системных файлов Windows



Отключает доступ к Редактору реестра, Диспетчеру задач.

Отключает Центр безопасности Windows (Windows Security Center) - брандмауэр, автообновления системы и антивирус, а также установку Windows XP SP2.

Отключает защиту системных файлов Windows (Windows File Protection, WFP).

Все вышеперечисленные действия производятся посредством модификации реестра:


HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System \ DisableRegistryTools = 01, 00, 00, 00
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System \ DisableTaskMgr = 01, 00, 00, 00
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon \ SFCScan = 00, 00, 00, 00
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Security Center Updates \ DisableNotify = 00000001
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Security Center \ AntiVirusDisableNotify = 00000001
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Security Center \ FirewallDisableNotify = 00000001
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Security Center \ AntiVirusOverride = 00000001
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Security Center \ FirewallOverride = 00000001
HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ WindowsFirewall\ DomainProfile \ EnableFirewall = 00000000
HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ WindowsFirewall\ StandardProfile \ EnableFirewall = 00000000
HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows\ WindowsUpdate \ DoNotAllowXPSP2 = 00000001
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ WindowsUpdate\ Auto Update \ AUOptions = 00000001



Заменяет HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon \ SFCDisable = 00, 00, 00, 00 на HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon \ SFCDisable = 9D, FF, FF, FF.

Включает Удаленный реестр (Remote Registry) для обеспечения удаленного доступа атакующего к реестру и Telnet - терминал для обеспечения удаленного доступа к командной консоли.

Отключает скрытые совместно используемые сетевые ресурсы, создаваемые Windows для разделов локального диска.

Стратегия внедрения:

При запуске создает файл CHCP.EXE в директории Windows. Там же создаются архивированные копии червя F0538_JPG.ZIP и G038_JPG.ZIP, которые впоследствии рассылаются через MSN Messenger.

Модифицирует библиотеку SFC_OS.DLL для отключения защиты целостности системных файлов.

Удаляет утилиты FTP - TFTP.EXE и FTP.EXE - из системной директории Windows и из директории DLLCACHE во избежание их восстановления.

Обеспечивает себе через реестр автозагрузку при каждом старте Windows:


HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run \ chcp.exe = %windir%\chcp.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon \ Shell = Explorer.exe chcp.exe



Удаляет из списка автозапуска в реестре (HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run) все записи, принадлежащие другим вредоносным программам:


i11r54n4.exe
Bagle.X
rate.exe
winsys.exe
Bagle.k
irun4.exe
Bagle.j
bbeagle.exe
Bagle.a
d3dupdate.exe
teekids.exe
W32.Blaster.C
Penis32.exe
W32.Blaster.B
MSBLAST.exe
W32.Blaster
Bagle.v
Netsky.r
Mydoom.h
mscvb32.exe
ssate.exe
Sobig.c



Распространение

Червь распространяется, рассылая свои копии во вложениях к сообщениям MSN Messenger. Сообщение выбирается из наборов, составленных для 9 языков:

Испанский


el lol mi hermana quisiera que le enviara este
lbum de foto
vengo de fi este foto
Hey i que hace el
lbum de foto! Si vea el loL del em
El tipo, me acepta por favor su solamente
lbum de foto: (!



Английский


looooook :p
loooooooooooool :D
lol he looks weird on this photo
omg check this out man this is funny
lol you got to see this



Французский


eeeh c mes tof :p
c seulement mes tof de derniers vacances
tu dois voire les tof de notre bande
comment est-ce que je regarde sur cette photo ?
le lol ceci est dr
ma soeur a voulu que tu regarde ca
faut de la reproduction sonore avez-vous vu ceci ?



Немецкий


lol meine Schwester w
nscht mich Ihnen dieses Fotoalbum schicken
Geck, nehmen bitte sein nur mich Fotoalbum an: (!
chten mein neues Fotoalbum sehen?



Итальянский


avete ottenuto vedere questo relativo cos
divertente
come lo pensate osservi qui
sguardo di lol a questo
controllo di distorsione di velocit
questo fuori



Португальский


estes s
o realmente agrad
veis :P
wow voc
viu este?
como voc
gosta de me nesta foto
ou ver este seu assim engra



Голландский


hoe vind je dit er uit zien ?
hoe vind je dit ?
echt erg kijk dan
zo hee moet je dit zien echt niet normaal
zo moet je me hier op zien lol
lol he hoe vind je me hier op



Шведский


r egentligen trevliga: P
gyckel m
ste se dig detta fotografera
du fick se detta dess galet :p



Турецкий


Bu resimler nasil sence bir bakarmisin
su komik resimlerime baksana :D
bak :P
Kiz kardesim bunlari sana yollamami s
yledi ;)
bu resimler space i
in nasil
Space ime bun resimleri eklesem sence nasil olur



Вложение содержит одно из двух файлов: F0538_JPG.ZIP или G038_JPG.ZIP.

Сообщения рассылаются по списку контактов, активных на момент рассылки.

Техническое название: W32/MSNFunny.B.worm.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Червь для платформы Windows. Распространяется, рассылая себя через MSN Messenger.

Загружает и запускает на компьютере другой вредоносный код:


Модуль набора платных телефонных номеров Dialer.KOS
Модуль сбора и отсылки куки, Cookie/Atlas.DMT
Модуль отключения защиты системных файлов Windows

Ослабляет настройки безопасности Windows, в частности, отключает "Центр безопасности Windows" (Windows Security Center).

Источник: PandaSecurity.com

[lastmylove]

W32/SillyFDC-AT

Признаки, действие и защита

Распространяется копированием себя в корень всех дисков под именем autorun.exe вместе со скрытым файлом автозапуска autorun.inf. Таким образом червь запускается при подключении диска к системе.

При первом запуске червь копирует свои компоненты:


%Windows%\java\classes\java.dll
%System%\kernel32.sys
%System%\mfc48.dll



Обеспечивает через реестр автозапуск файлу kernel32.sys:


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs=kernel32.sys



Также устанавливает себя как Вспомогательный объект браузера (BHO, Browser Helper Object).

Записывает в реестр следующие значения


HKCR\CLSID\{Random CLSID}\InprocServer32
%Windows%\java\classes\java.dll
HKCR\CLSID\\InprocServer32
%Windows%\java\classes\java.dll
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\
Browser Helper Objects\



Псевдонимы: Worm.Win32.Agent.o, W32/USBAgent.dll, WORM_AGENT.LOL.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Многокомпонентный червь-spyware для платформы Windows. Распространяется копированием себя на сетевые и съемные диски. Отправляет атакующему конфиденциальную информацию. Отключает антивирусные приложения.

[lastmylove]

W32/Sohana-AJ

Признаки, действие и защита

При запуске копирует себя как %System%\nod.exe.

Записывает ссылку на себя в разделы реестра, обеспечивающие автозагрузку червя при каждом запуске Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services
ActiveScript32
%System%\nod.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ActiveScript32
%System%\nod.exe


Также записывает себя в следующие разделы реестра:
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
ActiveScript32
%System%\nod.exe

HKLM\SOFTWARE\Microsoft\Ole
ActiveScript32
%System%\nod.exe

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Червь для платформы Windows. Распространяется копированием себя на совместно используемые сетевые ресурсы. Загружает из интернета дополнительный вредоносный код.

[lastmylove]

Worm/Rindu.D

Признаки, действие и защита

При первом запуске создает директорию C:\MSOCache\dlcache и копирует себя как:


%SYSDIR%\logonui.scr
%SYSDIR%\MyComp.scr
%SYSDIR%\userinit.exe
%SYSDIR%\sndvol32.exe
%SYSDIR%\calc.exe
%SYSDIR%\notepad.exe
%SYSDIR%\mspaint.exe
C:\MSOCache\dlcache\Lagu.scr
C:\MSOCache\dlcache\Gambar.scr
C:\MSOCache\dlcache\Film.scr
C:\MSOCache\dlcache\Dokumen Penting.scr
%PROGRAM FILES%\outlook express.scr
%PROGRAM FILES%\winamp.scr
%PROGRAM FILES%\Windows Media Player.scr
%PROGRAM FILES%\Windows NT\dialer.exe
%PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE



Записывает себя в файлы:


%SYSDIR%\dllcache\userinit.exe
%SYSDIR%\dllcache\sndvol32.exe
%SYSDIR%\dllcache\calc.exe
%SYSDIR%\dllcache\notepad.exe
%SYSDIR%\dllcache\mspaint.exe
%SYSDIR%\dllcache\iexplore.exe



Перезаписывает собой все файлы *.exe в директории %Program Files%.

Создает файл %WINDIR%\media\suara.mp3.

Отключает через реестр отображение скрытых файлов в Проводнике, отображение расширений файлов, обеспечивает себе автозагрузку, модифицирует другие настройки.


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\SuperHidden
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\ShowFullPathAddress
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\HideFileExt
HKCU\Software\Policies\Microsoft\Windows\System\"D isableCMD" = dword:00000001
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\CabinetState\"FullPathAddress" = dword:00000001
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe, MyComp.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\"DisableTaskMgr" = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\"DisableRegistryTools" = dword:00000001
HKLM\SOFTWARE\Classes\scrfile\@="File Folder"\"NeverShowExt" = dword:00000001
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\"NoFolderOptions" = dword:00000001
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\"NoFind" = dword:00000001
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\"NoRun" = dword:00000001
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\"ShowSuperHidden" = dword:00000000
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\"HideFileExt"=dword:00000001



Ищет в сети компьютеры с совместно используемыми ресурсами и копирует себя туда под именами Lagu.scr, Gambar.scr, Film.scr, Dokumen Penting.scr.

Ресурсы, на которые копируется червь:


IPC$\
Data.C$\
Data.D$\
Data.E$\
Data.F$\
Data.G$\
Data.H$\
imorxr$\



Открывает те же ресурсы на захваченном компьютере.

Завершает процессы, в окнах которых содержатся следующие подстроки:

ANTI; TROJAN; SUPPORT; MASTER; WORM; VIRUS; HACK; CRACK; LINUX; AVG; GRISOFT; CILLIN; SECURITY; LOCK; ASSOCIAT; SETUP; VAKSIN; UPDATE; TEST; XXX; HIDDEN; DEMO; SYSTEM32; AFEE; NORTON; RONTOK; PCMAV; W32; BLACK; MACRO; deulledo; TREND; SPERSKY; REGISTRY; COMMAND; KILL; NORMAN; FILM; PORNO; SVQj; PROCEXPL

Псевдонимы: W32/Rindu.d (McAfee), W32/Rindu.F.drp (Panda)

Написан на Delphi, упакован UPX.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Червь для платформы Windows. Распространяется копированием себя на совместно используемые сетевые диски.

Ослабляет настройки безопасности системы.

Источник: Avira.com

[lastmylove]

Adware.MediaAdVantage

Признаки, действие и защита

Приложение обычно поступает в комплекте с различными бесплатными программами и устанавливается из их инсталлятора параллельно с основной программой.

При установке создает директорию %ProgramFiles%\AdVantage и следующие файлы:


%ProgramFiles%\AdVantage\AdVantage.exe
%ProgramFiles%\AdVantage\AdVantage.cch
%ProgramFiles%\AdVantage\AdVantage.db
%ProgramFiles%\AdVantage\AdVantage.htm
%ProgramFiles%\AdVantage\AdVUninst.exe
%ProgramFiles%\AdVantage\ffext.mod
%ProgramFiles%\AdVantage\TR.dll
%ProgramFiles%\AdVantage\user.db

Создает следующие подключи реестра:


HKEY_ALL_USERS\Software\AdVantage
HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentV ersion\Run\AdVantage
HKEY_CLASSES_ROOT\AppID\TR.DLL
HKEY_CLASSES_ROOT\AppID\{69E0089F-28BC-4BB5-862B-E2B07C3B83C6}
HKEY_CLASSES_ROOT\CLSID\{602D9049-B4AC-4A25-BF75-A9B54D747CBA}
HKEY_CLASSES_ROOT\Interface\{5AC3A9EF-C0F8-41D4-B4E2-B7CEBB794151}
HKEY_CLASSES_ROOT\Interface\{862DEF42-89AA-49FA-AE1F-8A84B1B08A17}
HKEY_CLASSES_ROOT\Interface\{F6E4845D-1D13-4BC0-942D-B9191524CC48}
HKEY_CLASSES_ROOT\MEAD.1
HKEY_CLASSES_ROOT\TR.TRFactory
HKEY_CLASSES_ROOT\TR.TRFactory.1
HKEY_CLASSES_ROOT\TypeLib\{DABF362D-D442-4402-9208-CA9ED70DD01E}

Отслеживает содержимое окон Microsoft Internet Explorer и отображает сайты в зависимости от контекста контента в окнах.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Действие
Программа-adware, просматривающая содержимое окон Microsoft Internet Explorer, и отображающая контекстную рекламу.

Источник: Symantec.com

[lastmylove]

Trojan.Patchep

Признаки, действие и защита

При запуске копирует себя в системную директорию Windows (%system%) под именем из 8 случайных символов с расширением "exe".

Заражает все исполняемые файлы, перечисленные в реестре в списке автозагрузки приложений (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\Run). Файлы заражаются корректно и могут быть излечены. Symantec определяет их как Trojan.Patchep!inf.

Внедряется во все процессы, кроме zlclient.exe.

Пытается загрузить дополнительный вредоносный код с URL http://194.126.193.157/brows??? и http://194.126.193.158/brows???.

Создает в Планировщике задач файлы-задания для запуска себя: At[число].job.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Действие
Троян для платформы Windows. Загружает из интернета и выполняет дополнительный вредоносный код.

Содержит элементы вируса: для обеспечения автозагрузки при каждом запуске системы заражает исполняемые файлы, перечисленные в реестре в списке автозапуска приложений.

Источник: Symantec.com

[lastmylove]

W32.Googbot@mm

Признаки, действие и защита

При первом запуске копирует себя как %System%\sysboot32.exe (%System% - системная директория Windows).

Записывает ссылку на себя в раздел реестра, обеспечивающий автозагрузку приложений при каждом запуске Windows:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"System Boot Loader" = "%System%\sysboot32.exe"



Модифицирует файл %System%\drivers\etc\hosts, устанавливая соответствие ряда доменных имен локальному IP-адресу (127.0.0.1). Таким образом отключает доступ к этим сайтам:


127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 pandasoftware.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com
127.0.0.1 www.microsoft.com
127.0.0.1 microsoft.com
127.0.0.1 update.microsoft.com
127.0.0.1 www.virustotal.com
127.0.0.1 virustotal.com
127.0.0.1 www.ahnlab.com
127.0.0.1 suc.ahnlab.com
127.0.0.1 auth.ahnlab.com
127.0.0.1 ahnlab.com



Подключается к удаленному центру управления io.phatnet.biz:7001 для получения команд от атакующего. Атакующий может выполнять следующие команды на уязвимом компьютере:


mailstop
mailstart
threadkillall
threadkill
threadlist
scanstats
scanstop
scanstartall
scanstart
synstop
synstart
update
download
delete
exec
open
uninstall
die
reconnect
netinfo
sysinfo
uptime
lsass
asn



Может распространяться, используя уязвимости в сервисе Windows LSASS (MS04-011) и TrendMicro ServerProtect, позволяющие внедрить код на компьютер без участия и ведома пользователя.

Ищет на диске адреса электронной почты в файлах со следующими расширениями:


.wab
.adb
.tbb
.dbx
.asp
.php
.sht
.htm
.txt



Также собирает адреса из Microsoft Windows Address Book.

Для рассылки почты находит SMTP-сервер, используемый пользователем. Ищет адрес сервера в реестре: HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts.

Рассылает письма со следующими характеристиками. Адрес отправителя (From составляется из списков случайным образом.

Имя:


John
Jack
Jim
Suzie
Sally
Jenny
Gina
Bill
Andrew
Andy
Bob
Ashlee
Tom
Mike
Michael
Brian
Sam
David
Kevin
Jerry
Anna
Linda
Steve
Mary
Helen
Debby
Julie
Joe
George
James
Matt
Dave



Фамилия:


Smith
Campbell
Wright
Stevens
Thompson
Johnson
Jones
White
Wilson
Davis
Miller
Clark
Phillips
Carter
Parker
Collins
Anderson
Jackson
Taylor
Edwards
Peterson
Allen
Thomas
Harris



Доменное имя:


aol.com
msn.com
yahoo.com
hotmail.com
gmail.com



Тема письма (Subject выбирается из списка:


Someone has sent you a Private Message!
You have just recieved a NEW message!
You have (1) NEW messages!



Тело письма:


You have just recieved a new Google Message!
You can view your message here: http://www.google.com/gmsgid=4289472
Note: If you do not already have Google Message Viewer installed, you will be prompted to install it.


Ссылка ведет на сервер, откуда загружается копия червя.

Псевдонимы: WORM_AGENT.AAWD (TrendMicro), W32 Duce.a@mm (McAfee), Backdoor.W32.GoogBot.A (Kaspersky).

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить ключ реестра, созданный вредоносной программой (использовать regedit.exe)
Действие
Червь для платформы Windows. Распространяется посредством массовых рассылок своей копии по адресам электронной почты, обнаруженным на зараженном компьютере; также использует для распространения критические уязвимости в сервисе Windows LSASS (MS04-011) и TrendMicro ServerProtect, позволяющие внедрить код на компьютер без участия и ведома пользователя.

Открывает "черный ход", обеспечивая атакующему доступ к захваченному компьютеру.

Отключает доступ к обновлениям антивирусных приложений, модифицируя файл соответствия IP-адресов доменным именам (hosts).

Источник: Symantec.com

[lastmylove]

VBS.Runauto.C

Признаки, действие и защита

При запуске копирует себя в файл [email protected] в директории Windows и в корень системного диска, а также создает на системном диске файл автозапуска \autorun.inf.

Копирует себя на все съемные диски, кроме дискет, под тем же именем, и создает там же - в корне - файл autorun.inf, обеспечивающий червю автозагрузку при каждом подключении диска к системе.

Записывает ссылку на себя в реестр для обеспечения автозагрузки при каждом запуске Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\"Bit@UOM" = "C:\WINDOWS\[email protected]"

Через реестр заменяет иконку по умолчанию для файлов .vbs и заменяет заголовок окна Microsoft Internet Explorer на англоязычный бранный текст:


HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\"Defau ltIcon" = "shell32.dll,2"
HKEY_USERS\[ALL USERS]\Software\Microsoft\Internet Explorer\Main\"Window Title" = "Fuck You!! FUCK.... FUCK.... FUCK............."

Написан на языке сценариев Visual Basic Script.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Действие
Червь для платформы Windows. Распространяется копированием себя на все съемные диски, кроме дискет.

Заменяет заголовок окна Microsoft Internet Explorer на англоязычный бранный текст. Больше никак не проявляется.

Источник: Symantec.com

[lastmylove]

W32.Focelto.A

Признаки, действие и защита

При запуске копирует себя в %System%\dllcache\sygate.exe. (%System% - системная директория Windows)

Создает в реестре запись, обеспечивающую автозагрузку при каждом старте Windows:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{[СЛУЧАЙНЫЙ CLSID]}\"stubpath" = "%System%\dllcache\sygate.exe s"



Создает в реестре подключи


HKEY_LOCAL_MACHINE\Software\Sygate
HKEY_CURRENT_USER\Software\Sygate



Устанавливает руткит:


%System%\oddysee.exe - определяется Symantec как Hacktool.Rootkit
%System%\ntoskrnl.exe:kernel - определяется Symantec как Hacktool.Rootkit



(Файл :kernel - поток (Alternate Data Stream, ADS) в ntoskrnl.exe. Оригинальный ntoskrnl.exe не модифицируется червем)

Регистрирует сервис для руткита, создавая раздел HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\Oddysee.

Отображаемое имя - Oddysee, путь к образу - %System%\ntoskrnl.exe:kernel, Start: 3, Type: 1.

Руткит скрывает процессы, файлы и подключи реестра, относящиеся к червю, перехватывая системные функции ZwQuerySystemInformation, ZwEnumerateKey и ZwEnumerateValueKey.

Запускает процессы explorer.exe и iexplore.exe и встраивает в них код для обеспечения функционала руткита.

Для хранения информации создает следующие файлы:


%Userprofile%\rgst152.dat
%Userprofile%\Application Data\addon.dat
%System%\dllcache\klog.dat



Создает компоненты даунлоадера (определяются как W32.Focelto.A) на дисках от C: до Z:


\Foto_celular.scr
\Foto_celular.zip



Создает свою копию в %System%\backsys.sys.

Распространяется через интернет-пейджеры Microsoft, рассылая Foto_celular.scr по списку контактов.

Файл Foto_celular.scr пытается загрузить копию червя с URL:


[http://]naoadianta1.memebot.com/sexy???
[http://]naoadianta2.memebot.com/insta???
[http://]naoadianta3.memebot.com/movi???



Также соединяется через HTTP с сайтами naoadianta9.no-ip.org и naoadianta10.no-ip.org.

Защита
Отключить функцию "Восстановление системы" (для Windows ME и XP)
Полностью проверить систему антивирусом с обновлённой базой сигнатур
Удалить все ключи реестра, созданные вредоносной программой; восстановить изменённые настройки (использовать regedit.exe)
Найти и остановить сервис, созданный червём.
Действие
Червь для платформы Windows. Распространяется, рассылая себя по списку контактов в интернет-пейджерах Microsoft.

Открывает на компьютере "черный ход", загружает и выполняет дополнительный вредоносный код.

Использует руткит (определяется Symantec как Hacktool.Rootkit) для сокрытия себя в системе.

Источник: Symantec.com