В данной теме только описание вирусов и
их воздействие на систему!

Все коментарии будут удалятся как флейм!

Net-Worm.Win32.Mytob.h

Сетевой вирус-червь, заражающий компьютеры под управлением
операционной системы MS Windows.
Червь представляет собой PE EXE-файл. Написан на языке Visual C++.
Может быть упакован различными упаковщиками,
поэтому размер зараженных файлов может незначительно варьироваться.
Размер в упакованном виде — примерно 50 КБ размер в распакованном виде может быть от 150 КБ до 260 КБ.

Вирус распространяется, используя уязвимость MS04-011.

Также вирус распространяется через интернет в виде вложений в
зараженные электронные письма.
Рассылается по всем найденным
на зараженном компьютере адресам электронной почты.

Червь основан на исходных кодах Email-Worm.Win32.Mydoom.

Червь содержит в себе функцию бэкдора, принимающего команды
по каналам IRC.

Подробности! (http://www.viruslist.com/ru/viruses/encyclopedia?virusid=77034)

Добавлено через 01 минут(ы)

---------------------------------------------------------------------------------------------------------------

Trojan-Dropper.Win32.Pincher.a

Программа устанавливает в систему другую троянскую программу,
которая хранится внутри программного файла в зашифрованном виде.
В данном случае это Trojan-Dropper.Win32.Small.yt, троянская программа
размером 20480 байт.

Используемое (простейшее) шифрование вида «b = ~(b ^ 10)»
характерно для некоторых представителей семейств
Trojan-PSW.Win32.LdPinch и Trojan-PSW.Win32.PdPinch.

Основной файл программы упакован MEW, его размер — 20443 байт.
Других вредоносных действий не производит.

Компания F-Secure обнаружила новую вредоносную программу, инфицирующую портативные устройства под управлением операционной системы Symbian.

Троян, получивший название Doomboot.A, замаскирован под файл Doom_2_wad_cracked_by_DFT_S60_v1.0.sis, якобы содержащий взломанную версию игры Doom 2 для смартфонов. Вредоносная программа не способна распространяться самостоятельно и может попасть на коммуникатор только в том случае, если пользователь вручную загрузит ее из интернета.

После запуска Doomboot.A записывает в память смартфона поврежденные системные файлы и устанавливает другой вирус - Commwarrior. Червь Commwarrior, в свою очередь, пытается разослать собственные копии в теле сообщений MMS, а также через беспроводную связь Bluetooth, что приводит к быстрому разряду аккумуляторов.

Doomboot.A не создает новые иконки и скрывает собственное название в списке работающих процессов, из-за чего пользователь может сразу и не заметить присутствие вредоносной программы. Специалисты F-Secure подчеркивают, что перезагрузка инфицированного смартфона может привести к полной утере персональной информации, в том числе содержимого адресной книги и мультимедийных файлов.

Для очистки коммуникатор от трояна Doomboot.A необходимо вручную удалить файл Doom_2_wad_cracked_by_DFT_S60_v1.0.sis и затем загрузить антивирусное программное обеспечение для удаления червя Commwarrior. Причем сделать это нужно как можно быстрее, поскольку после разрядки аккумулятора портативное устройство может больше не запуститься. В результате владелец должен будет произвести форматирование, лишившись при этом всех персональных данных.

Worm.Win32.Eyeveg.g

«Лаборатория Касперского» сообщает об обнаружении новой версии
опасного почтового червя Worm.Win32.Eyeveg. Новая модификация,
получившая название Eyeveg.g, сегодня утром была разослана в российском
сегменте интернета.

Вирус-червь,
распространяющийся через интернет в виде вложений в
зараженные электронные письма, а также по открытым
сетевым ресурсам. Рассылается по всем найденным на
зараженном компьютере адресам электронной почты.
Вредоносная программа написана на Visual C++.
Состоит из двух файлов — исполняемого EXE и
динамической библиотеки DLL, которая хранится в
EXE-файле в виде ресурса.

По своим функциям Eyeveg.g полностью идентичен варианту Eyeveg.f.
Отличается от него лишь размером исполняемого файла и версией программы упаковщика.

Исполняемый файл Eyeveg.g имеет размер 78336 байт.

Подробности! (http://www.viruslist.com/ru/viruses/encyclopedia?virusid=82244)

not-virus:BadJoke.Win32.Delf.i

Безвредная программа-шутка. Написана на Delphi, ничем
не упакована. Размер файла — около 700 КБ.

При запуске начинает показывать сообщение «Flyer's beeper 1.0»

http://img152.**************/img152/6922/virus203415034ii.gif

поверх всех окон и одновременно подает звуковой сигнал
через спикер.

Других действий программа не производит. :нет

not-a-virus:AdWare.EZula.z

Программа взаимодействует с браузером Internet Explorer.
Добавляет рекламные ссылки в посещаемые пользователем WWW-страницы.

Создает ключи в системном реестре:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Runonce]"Web Offer"="%WINDIR%\ILOOKUP\EZSTUB.EXE"

Состав файлов:

ezstub.dll (длина 73728 байт), компонент для взаимодействия с
головным сайтом www.ezula.com, скачивает и устанавливает обновления. ezstub.exe (длина 65536 байт), модуль отвечающий за установку и деинсталляцию. mmod.exe (длина 192512 байт), основной компонент.

not-virus:Hoax.Win32.Avgold.d

Потенциально нежелательная программа —
«шутка» рекламного характера.

Написана на Visual C++, ничем не упакована.
Размер файла — 36864 байт.

Инсталляция
При запуске копирует себя в системную директорию
под именем hookdump.exe.

Добавляет ссылку на этот файл в реестр для автозагрузки:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run]"Intel system tool"="C:\WINNT\System32\hookdump.exe"
Создает в директории Windows файл screen.html (размер 1516) с
обманным текстом, сообщающим, что данный компьютер
заражен вирусами и предлагающим для их лечения зайти на сайт
http://www.antivirus*****.com.

Действия
Создает в трее иконку в виде белого крестика на красном
фоне, при правом клике на которую выводится текст:

http://img101.**************/img101/6633/virus203499166nn.gif



Добавлено через 07 минут(ы)


Trojan-Downloader.Win32.Delf.ia

Троянская программа, загружающая из интернета файлы
без ведома пользователя.
Представляет собой Windows
PE EXE-файл. Написана на языке Delphi и имеет размер
около 21 КБ. Упакована UPX. Размер распакованного файла
— около 62 КБ.

После запуска троянец копирует себя в корневой каталог
Windows с именем XPsys.exe:

%Windir%\XPsys.exe
Затем регистрирует этот файл в ключе автозапуска
системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run]"XPsys"="%Windir%\XPsys.exe"

Подробности!!! (http://www.viruslist.com/ru/viruses/encyclopedia?virusid=70879)

Net-Worm.Win32.Mytob.be

Сетевой вирус-червь,
заражающий компьютеры под управлением Windows.

Распространяется, используя уязвимость MS04-011 (http://www.microsoft.com/technet/security/Bulletin/MS04-011.mspx) в
сервисе MS Windows LSASS.
Также вирус распространяется через интернет по
электронной почте, в виде вложений в письма.
Рассылается по найденным на зараженном компьютере
адресам электронной почты.

По своим функциям аналогичен варианту Net-Worm.Win32.Mytob.h (http://www.viruslist.com/ru/viruses/encyclopedia?virusid=77034).
Отличается от него следующими незначительными изменениями:

Данный вариант имеет размер около 50 КБ, упакован Pacman + PEncypt.
Размер распакованного файла — около 100 КБ
В каталог %System% червь копируется под именем beta.exe
Червь регистрирует данный файл в ключах автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services]
"WINDOWS SYSTEM"="beta.exe"


Содержит текст:
[x] starting HellBot::v3 beta2

Virus.Win32.Aspade.1811

Программа оформлена как стандартный «ярлык» MS Windows
(LNK-файл).
При запуске данного файла небольшая программа,
написанная на BAT-скрипте и заданная в поле «Объект»,
пытается заменить собой все ярлыки в текущем каталоге.
Размер данного вредоносного файла — 1811 байт.

Содержит коментарий:
The first ever .lnk infector, written by phr0st



RemoteAdmin.Win32.RAdmin.21
Отнесена в разряд потенциально опасных программ

Программа Remote Administrator, предназначенная для
удаленного управления компьютерами;
версия 2.1.
Автор — Dmitry Znosko,
страница проекта — www.famatech.com (http://www.famatech.com/).

В определенных конфигурациях возможно ее скрытное
использование злоумышленником.
Функционал полностью аналогичен
RemoteAdmin.Win32.RAdmin.20 (http://www.viruslist.com/ru/viruses/encyclopedia?virusid=63583).




Trojan-Dropper.Win32.Small.yt

Вредоносная программа — инсталлятор.
Написана на ассемблере под Windows. Не упакована.
Размер файла — 20480 байт.

При запуске создает в системной директории файл с именем
SVCH0ST.EXE, который представляет собой
Trojan-PSW.Win32.LdPinch.ob (http://www.viruslist.com/ru/viruses/encyclopedia?virusid=80358), и запускает его.

Других вредных действий не предпринимает.



P2P-Worm.Win32.Darby.m

Вирус-червь,
распространяющийся через интернет по сетям файлообмена.
Также вирус распространяется по IRC-каналам, открытым
сетевым ресурсам и в виде вложений в зараженные
электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл),
имеет размер около 141 КБ, упакован при помощи UPX. Размер распакованного файла — около 426 KБ

Инсталляция

После запуска червь выдает окно, содержащее
следующую ошибку:

http://img305.**************/img305/2499/virus203518554kk.png


Причем употребляется имя файла-червя (может быть другим),
чтобы создать ошибочное впечатление у пользователя,
что данный файл не может быть запущен на исполнение.

Другие названия червя!


P2P-Worm.Win32.Darby.m («Лаборатория Касперского» (http://www.kaspersky.ru/))
также известен как:
Worm.P2P.Darby.m («Лаборатория Касперского» (http://www.kaspersky.ru/)),
W32/Darby.worm.m (McAfee (http://www.mcafee.com/)),
W32.HLLW.Darby (Symantec (http://www.symantec.com/)),
Win32.IRC.Generic.16 (Doctor Web (http://www.drweb.com/)),
W32/Darby-G (Sophos (http://www.sophos.com/)), Win32/HLLW.Darby.N (RAV (http://www.ravantivirus.com/)),
WORM_DARBY.G (Trend Micro (http://www.trendmicro.com/)), Worm/Darby.M (H+BEDV (http://www.antivir.de/)),
W32/Darby.K (FRISK (http://www.f-prot.com/)), Win32:Darby-F (ALWIL (http://www.avast.com/)),
Worm/Darby.R (Grisoft (http://www.grisoft.com/)), Win32.P2P.Barby.A (SOFTWIN (http://www.bitdefender.com/)),
Worm.P2P.Darby.Gen (ClamAV (http://www.clamav.net/)), W32/Darby.F.worm (Panda (http://www.pandasoftware.com/)),
Win32/Darby.M (Eset (http://www.nod32.com/))


Подробности:
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=61136

AdWare.DigitalNames.g

Потенциально нежелательная программа.
Написана на Visual C++.
Инсталлятор — файл размером 284160 байт, упакован PECompact.
Инсталляция

При запуске инсталлятор извлекает из себя и
сохраняет в системной директории, не уведомляя
об этом пользователя, следующие файлы:

dgtnmres.dll, 101888 байт
dgtstart.exe, 35840 байт
dgtuninstall.exe, 19968 байт
digitalnames.dll, 27648 байт
\drivers\dgtsys.sys, 8384 байт
При этом в раздел автозагрузки реестра добавляется ссылка
на файл dgtstart.exe:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]"dgtstart"="dgtstart.exe"Действия

AdWare.DigitalNames — программа рекламного характера,
которая собирает статистику о посещаемых интернет-сайтах
и отсылает ее на сервер. Собранная информация используется
для отображения рекламных «всплывающих окон».Также
осуществляет следующие действия:


Также осуществляет следующие действия:

скачивание обновлений с сайта upgrade.digitalnames.net;
перенаправление ошибочных http-запросов на указанный в теле программы сервер.

Trojan.DOS.Qhost.b

Программа является DOS COM-файлом с размером около 12 КБ.
При старте троянец модифицирует файл
%System%\drivers\etc\hosts, который используется для перевода доменных имен (DNS) в IP-адреса.
В файл hosts добавлены следующие строки:

209.134.41.39 officebanking.bradesco.com.br
Таким образом, все запросы к данному серверу officebanking.bradesco.com.br будут перенаправлены на 209.134.41.39.

__________________________________________________ _____

Trojan-Downloader.Win32.Small.apc


Программа написана на Visual C++, упакована UPC.
Размер файла — 10963 байт.
Не инсталлируется в систему самостоятельно.

При запуске загружает из интернета и устанавливает
предусмотренные автором программы троянцы либо AdWare.
Загрузка производится посредством создания нового процесса
Internet Explorer и внедрения в его код в качестве DLL-библиотеки.

__________________________________________________ ______________


Backdoor.Win32.Hupigon.a


Программа написана на Delphi, упакована Aspack.
Размер файла — 294076 байт.
Инсталляция

Копирует себя в системную директорию под именем
winreg.exe и notepod.exe.
Добавляет ссылку на этот файл в автозагрузку реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunServices] "LoadWindowsFile" = "<системная директория>\winreg.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run] "LoadWindowsFile" = "<системная директория>\winreg.exe"

Также изменяет параметры запуска исполняемых и текстовых файлов таким образом, что запуск любого exe-приложения и открытие любого txt-файла влечет за собой запуск данного троянца:[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\ open
\command] (Default) = "Notepod.exe "%1""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\
open\command] (Default) = "<системная директория>
\winreg.exe "%1" %*"Действия

Открывает порт 8310 (UDP) и несколько случайных (TCP) и
ожидает на них подключения «хозяина».
Функционал имеющихся в распоряжении
подключившегося злоумышленника команд достаточно широк —
операции с
файлами, форматирование диска, сбор нажатий клавиш и
паролей и т.п.
Содержит строки на китайском языке.

__________________________________________________ _______


Backdoor.Win32.Agobot.aby

Троянская программа, предоставляющая злоумышленнику
удаленный доступ к зараженной машине.
Управляется через IRC.
Представляет собой Windows PE-EXE файл.
Написана на языке Visual C++ и имеет размер около 224 КБ.
Упакована ASProtect.
Инсталляция

При инсталляции бэкдор копирует себя в системный каталог
Windows с именем mouseutils.exe:
%System%\mouseutils.exeЗатем регистрирует этот файл в ключах автозапуска
системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run][HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services][HKCU\Software\Microsoft\OLE] "Windows Mouse Utilities"="mouseutils.exe"При каждой следующей загрузке Windows автоматически запустит зараженный файл.

Также бэкдор изменяет следующие записи системного реестра:

[HKLM\Software\Microsoft\Ole] "EnableDCOM"="N"[HKLM\System\CurrentControlSet\Control\Lsa] "restrictanonymous"="dword:00000001"Действия

Программа соединяется с различными серверами IRC и
получает команды удаленного управления от «хозяина».
Спектр доступных команд очень разнообразен и позволяет
осуществлять полный контроль над системой, а также
осуществлять атаки на другие компьютеры, скачивать
файлы и т.д.
Помимо этого бэкдор обладает следующей функциональностью:

<LI class=large>мониторинг сети в поисках «интересных»
пакетов (например, содержащих пароли к FTP-серверам и т.д.) <LI class=large>сканирование сети в поисках машин, подверженных некоторым популярным уязвимостям (RPC DCOM, LSASS, WebDAV и др.),
<LI class=large>машин со «слабыми» системными паролями или открытыми сетевыми ресурсами;
<LI class=large>копирование и запуск себя на уязвимых машинах;
<LI class=large>загрузка и запуск на зараженном компьютере различных файлов;
<LI class=large>удаление файлов;
<LI class=large>остановка процесов различных антивирусных программ и отладчиков;
<LI class=large>проведение DoS-атак;
<LI class=large>отсылка злоумышелннику подробной информации о системе, в том числе паролей для некоторых компьютерных игр, перехваченный клавиатурный ввод пользователя, почтовых адресов и другой секретной информации;
<LI class=large>выполнять на зараженном компьютере различные команды;
запускать на зараженной машине прокси серверы; и другое.
__________________________________________________ _____________

Backdoor.Win32.Landis.b


Троянская программа, предоставляющая злоумышленнику удалённый
доступ к заражённой машине. Управляется через IRC.

Представляет собой Windows PE-EXE файл.
Имеет размер около 113 КБ.

Инсталляция

При инсталляции бэкдор создает папку со случайным именем в
системном каталоге Windows и копирует себя в эту папку
с именем csrss.exe.

Например:

%System%\drtusi\csrss.exe

Также в данной папке бекдор создает следующие файлы:

%System%\drtusi\csrss.dat%System%\drtusi\csrss.ini
После чего оригинальный запускаемый файл удаляется.

Бекдор создает ссылку на себя в каталоге автозагрузки:

%UserProfile%\Start Menu\Programs\Startup\csrss.lnk

Затем регистрирует себя в ключах автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run][HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"csrss"=" "

Добавляет следующие записи в системный реестр:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]

"Load"="%System%\<случайное имя папки>\csrss.exe"
"Run"="%System%\<случайное имя папки>\csrss.exe"

В случае Windows 95/98/ME бекдор изменяет файл win.ini,
добавляя в него следующие строки:

load = %System%\<случайное имя папки>\csrss.exerun = %System%\<случайное имя папки>\csrss.exe

Также бэкдор добавляет следующие записи в системный реестр:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced] "Hidden"="2" "SuperHidden"="0" "ShowSuperHidden"="0"[HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System] "DisableRegistryTools"="1" "NoAdminPage"="1"

Действия

Программа соединяется с различными серверами IRC и
получает команды удалённого управления от «хозяина».
Спектр доступных команд очень разнообразен и позволяет
осуществлять полный контроль над системой, а также
осуществлять атаки на другие компьютеры, скачивать файлы и т.д.

Помимо этого бэкдор обладает следующей функциональностью:

распространение по команде злоумышленника по каналам MSN Messenger ссылки, призывающей пользователей скачать копию данного бекдора; при этом ссылка выглядит весьма безопасно: http://www.vbulettin.com/[removed], – очень похоже на адрес авторитетного журнала антивирусной индустрии Virus Bulletin, и может вызвать заблуждение пользователей;
загрузка и запуск на зараженном компьютере различных файлов;
удаление файлов;
остановка различных активных процесов;
перезагрузка компьютера;
проведение DoS-атак;
отсылка злоумышелннику подробной информации о системе, в том числе вводимых с клавиатуры паролей и другой секретной информации;
выполнение на зараженном компьютере различных команд;
закрузка своих обновлений;
прочеее.
Прочее

Бэкдор изменяет файл %System%\drivers\etc\hosts,
дописывая в него нижеприведенный текст и, тем самым,
блокируя обращения к данным сайтам:

Подробности здесь..... (http://www.viruslist.com/ru/viruses/encyclopedia?virusid=89990)


__________________________________________________ ________________________

Trojan-Spy.Win32.Agent.fa


Программа-шпион,
предназначенная для кражи конфиденциальной информации.

Сохраняет в создаваемый лог-файл логины и пароли вводимые
пользователем и отправляет эту информацию злоумышленнику.
Является приложением Windows (PE EXE-файл),
имеет размер около 45 КБ, ничем не упакована.

При инсталляции троянец копирует себя в системный каталог
Windows с именем msserv.exe:
%System%\msserv.exeЗатем регистрирует этот файл в ключе автозапуска системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "msserv"="%System%\msserv.exe"При каждой следующей загрузке Windows автоматически
запустит файл-троянец.

Также троянец создает файл с именем servms.dll в системном
каталоге Windows:
%System%\servms.dll

Троянец отслеживает открытые окна Internet Explorer
и сохраняет информацию с открываемых сайтов,
а также клавиатурный ввод пользователя в созданный
файл servms.dll.

После чего отправляет данный файл на электронный адрес злоумышленника:

u****[email protected]

__________________________________________________ ________________________


Client-IRC.Win32.mIRC.614

Программа mIRC, версия 6.14 — это IRC-клиент. :дразню
IRC (Internet Relay Chat) — сеть, специально
предназначенная для общения в реальном времени.
Официальная страница проекта: www.mirc.com (http://www.mirc.com/).

Программа добавлена в расширенный набор антивирусных
баз по причине того, что, благодаря своему функционалу,
может быть использована в злоумышленных целях.
Функции mIRC часто используются вирусописателями для
создания бекдоров. Поэтому пользователю необходимо быть
осторожным с данной программой.

Функционал программы аналогичен
not-a-virus:Client-IRC.Win32.mIRC.616 (http://www.viruslist.com/ru/viruses/encyclopedia?virusid=63182).

Trojan-Downloader.Win32.Delf.aeo


Это троянская программа поражает компьютеры с Windows. Прописывает себя в системном Реестре ОС.
Содержит функциональность для доступа в Интернет.

Троян копирует себя в

<System>\browsela.dll

и прописывается в Реестре-

Файл browsela.dll регистрируется как COM object-


HKCR\CLSID\{31EE3286-D785-4E3F-95FC-51D00FDABC01}


А для того,чтобы запускать в стартапе код, экпортируемой browsela.dll,

добавляет следующие записи в Реестр:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\browsela
DLLName
<System>\browsela.dll


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\browsela
startup
WACLEventStartup

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\ SharedTaskScheduler
{31EE3286-D785-4E3F-95FC-51D00FDABC01}
Master Browseui

Armagedon.1079

Резидентные опасные вирусы. Перехватывают INT 8, 21h и записываются в начало запускаемых .COM-файлов (кроме COMMAND.COM). С 5.00 до 6.00 утра пытаются позвонить через модем по какому-то телефону (телефон справочной стужбы Time and Temperature Service в Греции?)

Добавлено через 1 минуту 14 секунд
Bomber

Безобидный резидентный полиморфик-вирус. Перехватывает INT 21h и заражает COM-файлы, кроме COMMAND.COM, при их запуске. Характерной чертой этого вируса является то, что он использует довольно необычный полиморфик-алгоритм. При заражении вирус считывает 4096 байт из середины файла и переносит их в его конец. Себя он записывает в образовавшуюся 'дыру' и приступает к генерации полиморфик-кода. Вирус содержит несколько подпрограмм генерации случайного (но вполне работоспособного!) кода, который записывается в случайные места заражаемого файла. В этом коде может присутствовать около 90% всех инструкций процессора i8086. Управление из одного участка в другой передается командами CALL, JMP, RET, RET xxxx. Первый участок записывается в начало файла, а последний передает управление на основное тело вируса. В итоге зараженный файл выглядит как бы покрытий 'пятнами' кода вируса, а процедура обнаружения основного тела вируса становится чрезвычайно сложной.

Добавлено через 2 минуты 33 секунды
Dir-ll.Dragon.a

Резидентные очень опасные стелс-вирусы, поражают .COM- и .EXE-файлы при чтении и записи секторов каталогов, содержащих информацию об этих-файлах. Свое тело хранят в последнем кластере инфицированного логического диска, этот кластер помечается как последний в цепочке кластеров. При заражении файла вирусы корректируют лишь номер первого кластера файла, расположенный в соответствующем секторе каталога. Новый начальный кластер файла будет указывать на кластер, содержащий тело вируса. Таким образом, при заражении файлов их длины и содержимое кластеров с этими файлами не изменяются, а на все зараженные файлы на одном логическом диске приходится только одна копия вируса. При инициализации проникают в ядро DOS, изменяют адрес системного драйвера дисков и затем перехватывают все обращения DOS к этому драйверу. В вирусе реализован мощный "стелс"-механизм на уровне системного драйвера, в результате чего вирус в зараженных файлах не виден при чтении файла ни через INT 21h, ни через INT 25h. При этом вирус обращается напрямую к ресурсам DOS и "пробивает" практически любые антивирусные блокировщики. Стремительно распространяются: при попытке запуска несуществующего файла DOS будет искать его во всех каталогах, отмеченных в PATH. При этом вирус перехватывает обращения DOS к каталогам и заражает файлы во всех каталогах, указанных в PATH. При первом старте вирусы семейства поражают все файлы текущего каталога диска C:

Small.144.a


Резидентные вирусы. При запуске копируют себя в таблицу векторов прерываний, перехватывают INT 21h и затем поражают COM-файлы при их загрузке в память. В зависимости от версии записываются либо в конец, либо в начало файлов. Большинство из вирусов семейства используют команды POPA и PUSHA процессоров 80x86. Могут некорректно заражать некоторые файлы. Принадлежат различным авторам. Видимо, появление семейства "Small" можно рассматривать как конкурс на самый короткий резидентный вирус для MS-DOS. Осталось только решить вопрос о размере призового фонда. "Small.122.b" содержит ошибку: он заражает EXE-файлы как COM, эти файлы будут зависать при запуске.


Sylvia.Hong


Нерезидентные безобидные вирусы. Ищут в текущем каталоге текущего диска и диска C: не более 5 .COM-файлов (кроме COMMAND.COM, IBMIO.COM, IBMDOS.COM) и записываются в их начало Если исправить содержимое текста, содержащегося в вирусе (см. ниже), расшифровывают и выводят на экран:
FUCK YOU LAMER !! system halted...
после чего система действительно зависает.


TaiPan.438


Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в конец EXE-файлов при их запуске. "Taipan.Chroot" заражает файлы при их запуске, открытии или при чтении/установке атрибутов файла. Уничтожает антивирус F-PROT. Не заражает файл с именем CHROOT.
"TaiPan.Hoose" 8-го августа перехватывает INT 1Ch и проялвяется Каким-то видео-эффектом.

Trivial

Нерезидентные очень опасные вирусы, как правило имеют очень маленькие длины. Крайне примитивны. Записывают себя в начало всех .COM-файлов текущего каталога не сохраняя старого содержимого этих файлов. Пораженные файлы, естественно, не восстанавливаются. Некоторые вирусы семейства (например, "Dre.192") записывает себя в .ЕХЕ-файлы, некоторые - записываются вместо всех файлов в каталоге. "Trivial.18" заражает файл, указанный в командной строке. "Trivial.99,161" стирают сектора дисков. "Trivial.Exec" выводат на экран "EXEC failure" и также стирают сектора. "Trivial.123" зашифрован, выводит текст: "T-1000". "Trivial.127" меняет позицию курсора, содержит текст: "*.COM *ZZ* v 1.0".


Trojan.Win32.Erase2002.a


Форматирует жесткий диск за несколько секунд и после перезагрузки компьютер не работает.

Twister.1015

Безобидные резидентные stealth-вирусы (кроме "Twister.451", он не стелс). Перехватывают INT 21h и записываются в начало COM-файлов при их запуске. Вирусы "Twister.1015,1767" заражают COMMAND.COM после заражения любого другого файла.


VBS.MailTest


Этот сетевой червь распространяется создавая свои копии на локальных и сетевых дисках а также сканируя сети на предмет досупных IP адресов. Будучи запущеным (пользователем либо автоматически - из каталога автозагрузки) червь копирует себя в каталог шрифтов Windows (каталог "Fonts"). Затем он прописывает скопированный файл в системном реестре таким образом, чтобы этот файл автоматически запускался при каждом старте Windows. Если червь был запущен из каталога отличного от "Fonts" и "Startup", он завершает работу имитируя системную ошибку сообщением

Win32.HLLM.Perf

(Email-Worm.Win32.Bagle.fw, Email-Worm.Win32.Scano.d, Email-Worm.Win32.Scano.e, Email-Worm.Win32.Scano.f, Email-Worm.Win32.Scano.h, Email-Worm.Win32.Scano.j, Exploit, Hoax-LocalIFrame, I-Worm/Generic.IT, New Malware.aj, PSW.Ldpinch.AWF, TSPY_LDPINCH.IT, Trojan-PSW.Win32.LdPinch.hk, Trojan.Agent.IE, Trojan.Bagle.F, Trojan.Pinch.A@m, Trojan.Win32.Inject.z, WORM_ARESES.B, [email protected], Win32.Scano.H@mm, Win32/Areses.D, Win32/Areses.D!Trojan, Win32/Kipis!generic, Worm/Generic.NB, Worm/Generic.NK)



Тип вируса: Почтовый червь массовой рассылки

Уязвимые ОС: Win95/98/Me/NT/2000/XP

Размер файла: 17 872 байт

Упакован: Нет


Техническая информация

Распространяется по электронной почте в виде вложения. Подделывает адрес отправителя.

Варианты тем для писем:

Привет,какие новости?
Ты сегодня ко мне приедешь?
Я тебя сегодня видела?

Варианты тел писем:

Приветик, как у тебя дела?... Ты сегодня в интернете будешь?
Напиши мне в аську, окей? Кстати документы которые тебе нужны в архиве тебе выслала, пока)
Ксюха

Привет, я сегодня тебя жду в гости, позвони мне перед тем как ехать...
Кстати, в архиве я запоковала необходимые тебе документы... Там все сам поймешь, пока. Жду!

Привет, шла по улице и видела тебя, а ты меня даже не заметил... ладно не обиделась...
Держи архив с документом, позвоним не сегодня, пока.

В качестве вложения создается .cab архив, в котором находится дроппер основного тела вируса. Имя файла в архиве начинается на "new", "me","you","cool" или "Re" и имеет двойное расширение. Первое из списка: ".doc", ".txt",".avi", ".mpeg", а второе " .cpl".

Пример: "me.doc .cpl" внутри архива me.cab

Запуск вируса.

Копирует себя в системную папку с именем %systemroot%\csrss.exe (настоящий csrss.exe находится в %systemroot%\system32\csrss.exe)

Свою автозагрузку при старте системы обеспечивает записью в реестре:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Debugger = "C:\WINDOWS\csrss.exe"

Запускает дополнительные процессы services.exe и svchost.exe. В них он внедряет код, который поддерживает запись автозагрузки в реестре и целостность своего носителя csrss.exe.

Если тело вируса будет удалено, то тут же будет восстановлено из копии, которая хранится в памяти инфицированного процесса services.exe. При этом имитируется срабатывание "Защиты файлов Windows"

Основная часть вируса в процессе svchost.exe сканирует все доступные диски в поисках почтовых адресов для рассылки. Для этого он использует файлы со следующими расширениями: .adb, .asp, .cfg, .cgi .mra, .dbx, .dhtm, .eml, .htm, .html, .jsp, .mbx, .mdx, .mht, .mmf, .msg, .nch, .ods, .oft, .php, .pl, .sht, .shtm, .stm, .tbb, .txt, .uin, .wab, .wsh, .xls, .xml, .dhtml

Извлекаемые адреса не должны содержать подстрок:
"@example." "Mailer-Daemon@" "-0"
"2003" "@subscribe" ".00"
"2004" "kasp" "@."
"2005" "admin" "---"
"2006" "icrosoft" "abuse"
"@hotmail" "support" "panda"
"@msn" "ntivi" "cafee"
"@microsoft" "unix" "spam"
"rating@" "bsd" "pgp"
"f-secur" "linux" "@avp."
"news" "listserv" "noreply"
"update" "certific" "local"
".qmail" "torvalds@" "root@"
".gif" "sopho" "postmaster@"
"anyone@" "@foo" ".0"
"bugs@" "@iana" ".1"
"contract@" "free-av" ".2"
"feste" "@messagelab" ".3"
"gold-certs@" "winzip" ".4"
"help@" "google" ".5"
"info@" "winrar" ".6"
"nobody@" "samples" ".7"
"noone@" "spm111@" ".8"
"0000" ".." ".9"


Действия.

При старте пытается скачать и исполнить непосредственно .exe файл

http: // 85.249.23.43 / 0.exe

или получить зашифрованный список адресов для дальнейшего скачивания:

http: // 85.249.23.35/m2/ g.php
http: // 207.46.250.119/g/ m.php
http: // 84.22.161.192/s/ f.php

В случае обнаружения виртуальной машины вирус открывает сайт www.na&ltcensored&gtuy.com и завершает свою работу.



Рекомендации по восстановлению системы

а) Необходимо скачать Dr.Web CureIt.
б) Отключить компьютер от локальной сети и/или Интернет.
в) Перезагрузить систему в "Безопасный режим с поддержкой командной строки" (клавиша F8 при старте системы).
г) Набрать в командной строке и выполнить следующую команду:
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe" /v Debugger /f
д) Перезагрузить систему.
е) Запустить утилиту Dr.Web CureIt, либо, если имеется, антивирусный дисковый сканер. Проверяемая директория - %SystemRoot% (по умолчанию С:\WINDOWS). Действие для объектов зараженных Win32.HLLM.Perf - удалить.



Модификация Win32.HLLM.Perf от 06.09.2006

Распространяется в виде письма с вложением в виде .hta файла

При запуске .hta в корневом каталоге создаётся .EXE-файл (21 262 байта), который запускается на исполнение.

Копирует себя в системную папку с именем %systemroot%\csrss.exe (настоящий csrss.exe находится в %systemroot%\system32\csrss.exe)

Свою автозагрузку при старте системы обеспечивает записью в реестре:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
Debugger = "C:\WINDOWS\csrss.exe"

Запускает дополнительные процессы services.exe и svchost.exe. В них он внедряет код, который поддерживает запись автозагрузки в реестре и целостность своего носителя csrss.exe.

Если тело вируса будет удалено, то тут же будет восстановлено из копии, которая хранится в памяти инфицированного процесса services.exe. При этом имитируется срабатывание "Защиты файлов Windows".

Имя вложения может быть следующим:

Message
File
Document
README
Passwords
Readme
Important
New
COOL
Archive
Fotos
private
confidential
secret
images
your_documents
backup

Варианты темы письма:

Hi, what's up?
He, where are you?
Hi, drop me a line!!!
Hi! Please write to me urgently!
Hi! I'm waiting you online today!
Will you be online today?
When you're gonna answer me?
Re: write to me!
Re: Call me!
Re: Where are you?
Re: When you're gonna answer me?
Hi!!! How's the mood?
Re: How's the mood?
Re: Where have you been?

Тело письма может содержать следующий текст:

Hi!!!!! You haven't been writing for a long time. I began to worry) Where have you been? You remember, you've asked a progy from me? I've finally found it, so here it is. Check it out if this is what you've been looking for... bye

Hi, what's up? Will you show up online today?Drop me a line in ICQ, ok? Btw, I'm sending you the docs you've been looking for, find them attached. Check them out, ok?

Hi! I'm coming to you tomorrow, ok? When you are going to be home? You remember, you've asked some docs. Please find them attached. Check and see what's inside. That's it. Bye, till tomorrow...

Hi! You disappeared again. If you come online, drop me a line, ok?Btw, I sent you those docs that you've been looking for. Check them out. Bye!

Hi, give me a call just when you got the message! I'm tired of waiting. Btw, I'm sending that program that you've been looking for. Check it out. Appears to be that one. Bye!

Hi, what's up? If you have time tomorrow, please come over. After midday. By the way, don't forget to check the enclosed documents. Bye. See you tomorrow.

Hi, I got a free day tomorrow, and I'm waiting for you. Please come after midday. By the way, I'm sending you the documents that you've been asking for. Read them out... Bye!

Hi, how are you? What are your plans today? If you have time, please come over, and don't forget to check the program attached. Bye!

Hi, what's you gonna do today? I'll come over tonight! By the way, don't give anyone this funny program I'm sending. Check it out. Bye!

Hi, I found that program you asked for. Find it attached. Bye.

Hi, I saw you around today, but you didn't noticed me ( If you're gonna be at home, give a call, ok? By the way, check this file I'm sending. A very interesting program...What's up! You haven't been writing for a long time… I got news. I've finally that program you needed… I'm sending it out. Use it. Bye!

Hi, drop me a line today, ok? And see the program I'm sending. Bye!

Hi, drop me a line if you can. Btw, I have a new ICQ. Please don't forget to check the attached documents. Bye.

Hi! How are you? Drop me a line if you can. I found your documents and I'm emailing them to you. Bye.

Вирус создаёт файлы для распространения по файлообменным сетям, присваивая им расширения .pif, .scr или .exe:

Sex and more.rtf
3D Studio Max 6 3dsmax
ACDSee 10 full
Adobe Photoshop 10 full
Adobe Premiere 10
Ahead Nero 8
Altkins Diet.doc
American Idol.doc
Arnold Schwarzenegger.jpg
Best Matrix Screensaver new
Britney sex xxx.jpg
Britney Spears and Eminem porn.jpg
Britney Spears blowjob.jpg
Britney Spears cumshot.jpg
Britney Spears fuck.jpg
Britney Spears full album.mp3
Britney Spears porn.jpg
Britney Spears Sexy archive.doc
Britney Spears Song text archive.doc
Britney Spears.jpg
Britney Spears.mp3
Clone DVD 6
Cloning.doc
Cracks & Warez Archiv
Dark Angels new
Dictionary English 2004 - France.doc
DivX 8.0 final
Doom 3 release 2
E-Book Archive2.rtf
Eminem blowjob.jpg
Eminem full album.mp3
Eminem Poster.jpg
Eminem sex xxx.jpg
Eminem Sexy archive.doc
Eminem Spears porn.jpg
Eminem.mp3
Full album all.mp3
Gimp 1.8 Full with Key
Harry Potter 1-6 book.txt
Harry Potter 5.mpg
Harry Potter all e.book.doc
Harry Potter e book.doc
Harry Potter game
Harry Potter.doc
Harry Potter and the Sorcerer's Stone game
How to hack new.doc
Internet Explorer 9 setup
Kazaa Lite 4.0 new
Kazaa new
Keygen 4 all new
Learn Programming 2004.doc
Lightwave 9 Update
Magix Video Deluxe 5 beta
Matrix 3 .mpg
Microsoft Office 2003 Crack best
Microsoft WinXP Crack full
MS Service Pack 6
source code
Norton Antivirus 2005 beta
Opera 11 free
Partitionsmagic 10 beta
Porno Screensaver britney
RFC compilation.doc
Ringtones.doc
Nostradamus.doc
World Trade Center last video.mpeg
anthrax.doc
Osama Bin Laden.jpg
Taliban
Osama bin Laden.mpg
Yellow Pages
Ringtones.mp3
Saddam Hussein.jpg
Screensaver2
Serials edition.txt
Smashing the stack full.rtf
Star Office 9
Teen Porn 15.jpg
The Sims 4 beta
Ulead Keygen 2004
Visual Studio Net Crack all
Vista review.doc
WinAmp 13 full with sources
Windows Vista Sourcecode.doc
Windows 2003 crack
Windows XP crack
WinXP eBook newest.doc
XXX hardcore pics.jpg

в каталогах, содержащих подстроки:

bear
donkey
download
ftp
htdocs
http
icq
kazaa
lime
morpheus
mule
shar
source
upload
pub

Для своей расслыки по электронной почте ищет адреса, просматривая файлы со следующими расширениями:

.adb
.asp
.cfg
.cgi
.mra
.dbx
.dhtm
.eml
.htm
.html
.jsp
.mbx
.mdx
.mht
.mmf
.msg
.nch
.ods
.oft
.php
.pl
.sht
.shtm
.stm
.tbb
.txt
.uin
.wab
.wsh
.xls
.xml
.dhtml

Не рассылает свои копии, если почтовый адрес содержит следующие подстроки:

@microsoft
rating@
f-secur
news
update
.qmail
.gif
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
0000
Mailer-Daemon@
@subscribe
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
torvalds@
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
spm111@
..
-0
.00
@.
---
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@
.0
.1
.2
.3
.4
.5
.6
.7
.8
.9

Пытается получить зашифрованный список адресов для дальнейшего скачивания

hxxp://xeseretuo.com/m2/g.php
hxxp://81.95.146.155/gt5/ugk.php
hxxp://81.95.146.155/hu/s2.php

Win32.HLLM.Beagle

(Download.Trojan, Email-Worm.Win32.Bagle.bu, Email-Worm.Win32.Bagle.et, Email-Worm.Win32.Bagle.pac, I-Worm/Bagle, New Malware, New or modified variant of Bagle, TROJ_DLOADER.BDD, Trojan-Downloader.Win32.Bagle.n, Trojan.Mitglieder, W32.Beagle.gen, W32/Bagle, W32/Bagle.dldr.gen, W32/Bagle.gen, WORM_BAGLE.BX, WORM_Bagle.GEN, Win32.Bagle.EN@mm, Win32/Bagle.DD, Win32/Bagle.DD!Worm, Win32/Bagle.Variant!Worm, Win32/Mitglieder.3058!DLL!Trojan, Win32/Mitglieder.CZ!Trojan, Win32/SillyDL.Trac!Trojan, Worm.Bagle.CD-2)
Добавлен в вирусную базу Dr.Web®: 2006-06-20 18:58:15


Тип вируса: Почтовый червь массовой рассылки

Уязвимые ОС: Win95/98/Me/NT/2000/XP

Размер файла: 69 842 байт, 85 508 байт

Упакован: PECRYPT


Техническая информация

Распространяется по электронной почте. Вложение представляет собой защищённый паролем ZIP-архив для затруднения его обнаружения антивирусными программами. Для того, чтобы неосторожный пользователь мог извлечь содержимое архива, пароль указывается в графическом файле: [случайное имя].gif.

При своём запуске прописывает себя в автозагрузку в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run
"drv_st_key" = "%UserProfile%\Application Data\hidn\hidn1.exe"

Запрещает загрузку в SafeMode: удаляет ветвь реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot

При первом запуске показывает картинку "Error"

Имя вложения выбирается из списка:

Elizabeth
Elizabethe
Anne
Ann
Anna
Anne
Annes
Mary
Marie
Marye
Margaret
Margaret
Margarett
Margerie
Margerye
Margret
Margrett
Sara
Dorothy
Dorithie
Dorothee
Jane
Katherine
Katherine
Katheryne
Susanna
Susanna
Suzanna
Francis
Frances
Fraunces
Joane
Judith
Judeth
Judith
Judithe
Alice
Ales
Alice
Alyce
Ellen
Ellen
Ellyn
Grace
Isabell
Isabel
Isabell
Martha
Susan
Winifred
Wynefreed
Wynefrede
Wynnefreede
Avis
Avis
Avice
Bennet
Bennet
Bennett
Christian
Christian
Christean
Constance
Cybil
Sybell
Sybyll
Ester
Rebecka
Rose
Sidney
Sindony
Syndony
John
John
Johen
Thomas
William
Richard
Richarde
Richard
Rycharde
Robert
Roberte
Robert
George
Edward
Edwarde
Edward
Nicholas
Nicholas
Nycholas
Nicholaus
James
Jeames
James
Henry
Henrie
Henry
Henrye
Edmund
Edmonde
Edmond
Edmund
Harry
Harrye
Harry
Anthony
Anthonye
Anthonie
Roger
Peter
Nathaniel
Nathaniell
Nathaniel
Nathanyell
Stephen
Jeffrey
Jeffrye
Geoffraie
Francis
Andrew
Androw
Androwe
Valentyne
Samuell
Ralph
Michael
Michael
Mychaell
Leonard
Leonard
Leonarde
Josias
Humphrey
Humphrey
Humphrie
Hughe
Gabriell
Emanual
Emanuell
Emanuel
Daniel
Daniel
Danyell

Тело сообщения содержит текст:

To the beloved
I love you

Адреса для своего дальнейшего распространения ищет в файлах с такими расширениями:

.wab
.txt
.msg
.htm
.shtm
.stm
.xml
.dbx
.mbx
.mdx
.eml
.nch
.mmf
.ods
.cfg
.asp
.php
.pl
.wsh
.adb
.tbb
.sht
.xls
.oft
.uin
.cgi
.mht
.dhtm
.jsp

Содержит rootkit-компоненту (Файл m_hook.sys. Размер - 15 360 байт) для сокрытия своих процесса, файлов, а также ветвей реестра. Создаёт папку hidn с атрибутом "Скрытый" в C:\Documents and Settings\%USERPROFILE%\Application Data\, в которую помещает непосредственно исполняемый файл и rootkit-компоненту.

Не рассылает свои копии, если в адресе встречаются следующие подстроки:

rating@
f-secur
news
update
anyone@
bugs@
contract@
feste
gold-certs@
help@
info@
nobody@
noone@
kasp
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
sopho
@foo
@iana
free-av
@messagelab
winzip
google
winrar
samples
abuse
panda
cafee
spam
pgp
@avp.
noreply
local
root@
postmaster@

Червь содержит деструктивные функции: удаляет процессы, принадлежащие различным системам компьютерной безопасности, а также останавливает службы.

Процессы, которые вирус завершает и, по возможности, удаляет с диска:

a2guard.exe
aavshield.exe
AckWin32.exe
ADVCHK.EXE
AhnSD.exe
airdefense.exe
ALERTSVC.EXE
ALMon.exe
ALOGSERV.EXE
ALsvc.exe
amon.exe
Anti-Trojan.exe
AntiVirScheduler
AntiVirService
ANTS.EXE
APVXDWIN.EXE
Armor2net.exe
ashAvast.exe
ashDisp.exe
ashEnhcd.exe
ashMaiSv.exe
ashPopWz.exe
ashServ.exe
ashSimpl.exe
ashSkPck.exe
ashWebSv.exe
aswUpdSv.exe
ATCON.EXE
ATUPDATER.EXE
ATWATCH.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
avciman.exe
Avconsol.exe
AVENGINE.EXE
avgamsvr.exe
avgcc.exe
AVGCC32.EXE
AVGCTRL.EXE
avgemc.exe
avgfwsrv.exe
AVGNT.EXE
avgntdd
avgntmgr
AVGSERV.EXE
AVGUARD.EXE
avgupsvc.exe
avinitnt.exe
AvkServ.exe
AVKService.exe
AVKWCtl.exe
AVP.EXE
AVP32.EXE
avpcc.exe
avpm.exe
AVPUPD.EXE
AVSCHED32.EXE
avsynmgr.exe
AVWUPD32.EXE
AVWUPSRV.EXE
AVXMONITOR9X.EXE
AVXMONITORNT.EXE
AVXQUAR.EXE
BackWeb-4476822.exe
bdmcon.exe
bdnews.exe
bdoesrv.exe
bdss.exe
bdsubmit.exe
bdswitch.exe
blackd.exe
blackice.exe
cafix.exe
ccApp.exe
ccEvtMgr.exe
ccProxy.exe
ccSetMgr.exe
CFIAUDIT.EXE
ClamTray.exe
ClamWin.exe
Claw95.exe
Claw95cf.exe
cleaner.exe
cleaner3.exe
CliSvc.exe
CMGrdian.exe
cpd.exe
DefWatch.exe
DOORS.EXE
DrVirus.exe
drwadins.exe
drweb32w.exe
drwebscd.exe
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
ewidoctrl.exe
EzAntivirusRegistrationCheck.exe
F-AGNT95.EXE
F-PROT95.EXE
F-Sched.exe
F-StopW.EXE
FAMEH32.EXE
FAST.EXE
FCH32.EXE
FireSvc.exe
FireTray.exe
FIREWALL.EXE
fpavupdm.exe
freshclam.exe
FRW.EXE
fsav32.exe
fsavgui.exe
fsbwsys.exe
fsdfwd.exe
FSGK32.EXE
fsgk32st.exe
fsguiexe.exe
FSM32.EXE
FSMA32.EXE
FSMB32.EXE
fspex.exe
fssm32.exe
gcasDtServ.exe
gcasServ.exe
GIANTAntiSpywareMain.exe
GIANTAntiSpywareUpdater.exe
GUARD.EXE
GUARDGUI.EXE
GuardNT.exe
HRegMon.exe
Hrres.exe
HSockPE.exe
HUpdate.EXE
iamapp.exe
iamserv.exe
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ICSUPPNT.EXE
IFACE.EXE
INETUPD.EXE
InocIT.exe
InoRpc.exe
InoRT.exe
InoTask.exe
InoUpTNG.exe
IOMON98.EXE
isafe.exe
ISATRAY.EXE
ISRV95.EXE
ISSVC.exe
JEDI.EXE
KAV.exe
kavmm.exe
KAVPF.exe
KavPFW.exe
KAVStart.exe
KAVSvc.exe
KAVSvcUI.EXE
KMailMon.EXE
KPfwSvc.EXE
KWatch.EXE
livesrv.exe
LOCKDOWN2000.EXE
LogWatNT.exe
lpfw.exe
LUALL.EXE
LUCOMSERVER.EXE
Luupdate.exe
MCAGENT.EXE
mcmnhdlr.exe
mcregwiz.exe
Mcshield.exe
MCUPDATE.EXE
mcvsshld.exe
MINILOG.EXE
MONITOR.EXE
MonSysNT.exe
MOOLIVE.EXE
MpEng.exe
mpssvc.exe
MSMPSVC.exe
myAgtSvc.exe
myagttry.exe
navapsvc.exe
NAVAPW32.EXE
NavLu32.exe
NAVW32.EXE
NDD32.EXE
NeoWatchLog.exe
NeoWatchTray.exe
NISSERV
NISUM.EXE
NMAIN.EXE
nod32.exe
nod32krn.exe
nod32kui.exe
NORMIST.EXE
notstart.exe
npavtray.exe
NPFMNTOR.EXE
npfmsg.exe
NPROTECT.EXE
NSCHED32.EXE
NSMdtr.exe
NssServ.exe
NssTray.exe
ntrtscan.exe
NTXconfig.exe
NUPGRADE.EXE
NVC95.EXE
Nvcod.exe
Nvcte.exe
Nvcut.exe
NWService.exe
OfcPfwSvc.exe
OUTPOST.EXE
PAV.EXE
PavFires.exe
PavFnSvr.exe
Pavkre.exe
PavProt.exe
pavProxy.exe
pavprsrv.exe
pavsrv51.exe
PAVSS.EXE
pccguide.exe
PCCIOMON.EXE
pccntmon.exe
PCCPFW.exe
PcCtlCom.exe
PCTAV.exe
PERSFW.EXE
pertsk.exe
PERVAC.EXE
PNMSRV.EXE
POP3TRAP.EXE
POPROXY.EXE
prevsrv.exe
PsImSvc.exe
QHM32.EXE
QHONLINE.EXE
QHONSVC.EXE
QHPF.EXE
qhwscsvc.exe
RavMon.exe
RavTimer.exe
Realmon.exe
REALMON95.EXE
Rescue.exe
rfwmain.exe
Rtvscan.exe
RTVSCN95.EXE
RuLaunch.exe
SAVAdminService.exe
SAVMain.exe
savprogress.exe
SAVScan.exe
SCAN32.EXE
ScanningProcess.exe
sched.exe
sdhelp.exe
SERVIC~1.EXE
SHSTAT.EXE
SiteCli.exe
smc.exe
SNDSrvc.exe
SPBBCSvc.exe
SPHINX.EXE
spiderml.exe
spidernt.exe
Spiderui.exe
SpybotSD.exe
SPYXX.EXE
SS3EDIT.EXE
stopsignav.exe
swAgent.exe
swdoctor.exe
SWNETSUP.EXE
symlcsvc.exe
SymProxySvc.exe
SymSPort.exe
SymWSC.exe
SYNMGR.EXE
TAUMON.EXE
TBMon.exe
TC.EXE
tca.exe
TCM.EXE
TDS-3.EXE
TeaTimer.exe
TFAK.EXE
THAV.EXE
THSM.EXE
Tmas.exe
tmlisten.exe
Tmntsrv.exe
TmPfw.exe
tmproxy.exe
TNBUtil.exe
TRJSCAN.EXE
Up2Date.exe
UPDATE.EXE
UpdaterUI.exe
upgrepl.exe
Vba32ECM.exe
Vba32ifs.exe
vba32ldr.exe
Vba32PP3.exe
VBSNTW.exe
vchk.exe
vcrmon.exe
VetTray.exe
VirusKeeper.exe
VPTRAY.EXE
vrfwsvc.exe
VRMONNT.EXE
vrmonsvc.exe
vrrw32.exe
VSECOMR.EXE
Vshwin32.exe
vsmon.exe
vsserv.exe
VsStat.exe
WATCHDOG.EXE
WebProxy.exe
Webscanx.exe
WEBTRAP.EXE
WGFE95.EXE
Winaw32.exe
winroute.exe
winss.exe
winssnotify.exe
WRADMIN.EXE
WRCTRL.EXE
xcommsvr.exe
zatutor.exe
ZAUINST.EXE
zlclient.exe
zonealarm.exe
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE

Отключаемые червём службы:

wuauserv
Aavmker4
ABVPN2K
ADBLOCK.DLL
ADFirewall
AFWMCL
Ahnlab
task
Scheduler
alerter
AlertManger
AntiVir
Service
AntiyFirewall
ARP.DLL
aswMon2
aswRdr
aswTdi
aswUpdSv
Ati
HotKey
Poller avast!
Antivirus avast!
Mail Scanner avast!
Web Scanner
AVEService
AVExch32Service
AvFlt
Avg7Alrt
Avg7Core
Avg7RsW
Avg7RsXP
Avg7UpdSvc
AvgCore
AvgFsh
AVGFwSrv
AvgFwSvr
AvgServ
AvgTdi
AVIRAMailService
AVIRAService
avpcc
AVUPDService
AVWUpSrv
AvxIni
awhost32
backweb
client - 4476822
BackWeb Client - 7681197
backweb client-4476822
Bdfndisf
bdftdif
bdss
BlackICE
BsFileSpy
BsFirewall
BsMailProxy
CAISafe
ccEvtMgr
ccPwdSvc
ccSetMgr
ccSetMgr.exe
CONTENT.DLL
DefWatch
DNSCACHE.DLL
drwebnet
dvpapi
dvpinit
ewido
security
suite
control
ewido
security
suite
driver
ewido
security
suite
guard
F-Prot
Antivirus
Update
Monitor
F-Secure
Gatekeeper
Handler
Starter
firewall
fsbwsys
FSDFWD
FSFW
FSMA
FTPFILT.DLL
FwcAgent
fwdrv
Guard NT
HSnSFW
HSnSPro
HTMLFILT.DLL
HTTPFILT.DLL
IMAPFILT.DLL
noRPC
InoRT
InoTask
Ip6Fw
Ip6FwHlp
KAVMonitorService
KAVSvc
KLBLMain
KPfwSvc
KWatch3
KWatchSvc
MAILFILT.DLL
McAfee Firewall
McAfeeFramework
McShield
McTaskManager
mcupdmgr.exe
MCVSRte
Microsoft NetWork FireWall Services
MonSvcNT
MpfService
navapsvc
Ndisuio
NDIS_RD
Network Associates Log Service
nipsvc
NISSERV
NISUM
NNTPFILT.DLL
NOD32ControlCenter
NOD32krn
NOD32Service
Norman
NJeeves
Norman
Type-R
Norman
ZANDA
Norton AntiVirus Server
NPDriver
NPFMntor
NProtectService
NSCTOP
nvcoas
NVCScheduler
nwclntc
nwclntd
nwclnte
nwclntf
nwclntg
nwclnth
NWService
OfcPfwSvc
Outbreak
Manager
Outpost Firewall
OutpostFirewall
PASSRV
PAVAGENTE
PavAtScheduler
PAVDRV
PAVFIRES
PAVFNSVR
Pavkre
PavProc
PavProt
PavPrSrv
PavReport
PAVSRV
PCCPFW
PCC_PFW
PersFW
Personal Firewall
POP3FILT.DLL
PREVSRV
PROTECT.DLL
PSIMSVC
qhwscsvc
wscsvc
Quick Heal
Online Protection
ravmon8
RfwService
SAVFMSE
SAVScan
SBService
schscnt
SECRET.DLL
SharedAccess
SmcService
SNDSrvc
SPBBCSvc
SpiderNT
SweepNet
SWEEPSRV.SYS
Symantec AntiVirus
Client Symantec
Core LC
The_Hacker_Antivirus
Tmntsrv
TmPfw
tmproxy
tmtdi
tm_cfw T_H_S_M V3MonNT
V3MonSvc
Vba32ECM
Vba32ifs
Vba32Ldr
Vba32PP3
VBCompManService
VexiraAntivirus
VFILT
VisNetic
AntiVirus Plug-in
vrfwsvc
vsmon
VSSERV
WinAntivirus
WinRoute
wuauserv
xcomm
Empty

Червь блокирует запуск regedt32.exe и regedit.exe

Для проверки обновлений своих модулей предпринимает попытки осуществлять соединение с веб-сайтами, список которых хранится в теле червя.

hxxp://www.titanmotors.com/images/1/eml.php
hxxp://veranmaisala.com/1/eml.php
hxxp://wklight.nazwa.pl/1/eml.php
hxxp://yongsan24.co.kr/1/eml.php
hxxp://accesible.cl/1/eml.php
hxxp://hotelesalba.com/1/eml.php
hxxp://amdlady.com/1/eml.php
hxxp://inca.dnetsolution.net/1/eml.php
hxxp://www.auraura.com/1/eml.php
hxxp://avataresgratis.com/1/eml.php
hxxp://beyoglu.com.tr/1/eml.php
hxxp://brandshock.com/1/eml.php
hxxp://www.buydigital.co.kr/1/eml.php
hxxp://camaramafra.sc.gov.br/1/eml.php
hxxp://camposequipamentos.com.br/1/eml.php
hxxp://cbradio.sos.pl/1/eml.php
hxxp://c-d-c.com.au/1/eml.php
hxxp://www.klanpl.com/1/eml.php
hxxp://coparefrescos.stantonstreetgroup.com/1/eml.php
hxxp://creainspire.com/1/eml.php
hxxp://desenjoi.com.br/1/eml.php
hxxp://www.inprofile.gr/1/eml.php
hxxp://www.diem.cl/1/eml.php
hxxp://www.discotecapuzzle.com/1/eml.php
hxxp://ujscie.one.pl/777.gif
hxxp://1point2.iae.nl/777.gif
hxxp://appaloosa.no/777.gif
hxxp://apromed.com/777.gif
hxxp://arborfolia.com/777.gif
hxxp://pawlacz.com/777.gif
hxxp://areal-realt.ru/777.gif
hxxp://bitel.ru/777.gif
hxxp://yetii.no-ip.com/777.gif
hxxp://art4u1.superhost.pl/777.gif
hxxp://www.artbed.pl/777.gif
hxxp://art-bizar.foxnet.pl/777.gif
hxxp://www.jonogueira.com/777.gif
hxxp://asdesign.cz/777.gif
hxxp://ftp-dom.earthlink.net/777.gif
hxxp://www.aureaorodeley.com/777.gif
hxxp://www.autoekb.ru/777.gif
hxxp://www.autovorota.ru/777.gif
hxxp://avenue.ee/777.gif
hxxp://www.avinpharma.ru/777.gif
hxxp://ouarzazateservices.com/777.gif
hxxp://stats-adf.altadis.com/777.gif
hxxp://bartex-cit.com.pl/777.gif
hxxp://bazarbekr.sk/777.gif
hxxp://gnu.univ.gda.pl/777.gif
hxxp://bid-usa.com/777.gif
hxxp://biliskov.com/777.gif
hxxp://biomedpel.cz/777.gif
hxxp://blackbull.cz/777.gif
hxxp://bohuminsko.cz/777.gif
hxxp://bonsai-world.com.au/777.gif
hxxp://bpsbillboards.com/777.gif
hxxp://cadinformatics.com/777.gif
hxxp://canecaecia.com/777.gif
hxxp://www.castnetnultimedia.com/777.gif
hxxp://compucel.com/777.gif
hxxp://continentalcarbonindia.com/777.gif
hxxp://ceramax.co.kr/777.gif
hxxp://prime.gushi.org/777.gif
hxxp://www.chapisteriadaniel.com/777.gif
hxxp://charlesspaans.com/777.gif
hxxp://chatsk.wz.cz/777.gif
hxxp://www.chittychat.com/777.gif
hxxp://checkalertusa.com/777.gif
hxxp://cibernegocios.com.ar/777.gif
hxxp://5050clothing.com/777.gif
hxxp://cof666.shockonline.net/777.gif
hxxp://comaxtechnologies.net/777.gif
hxxp://concellodesandias.com/777.gif
hxxp://www.cort.ru/777.gif
hxxp://donchef.com/777.gif
hxxp://www.crfj.com/777.gif
hxxp://kremz.ru/777.gif
hxxp://dev.jintek.com/777.gif
hxxp://foxvcoin.com/777.gif
hxxp://uwua132.org/777.gif
hxxp://v-v-kopretiny.ic.cz/777.gif
hxxp://erich-kaestner-schule-donaueschingen.de/777.gif
hxxp://vanvakfi.com/777.gif
hxxp://axelero.hu/777.gif
hxxp://kisalfold.com/777.gif
hxxp://vega-sps.com/777.gif
hxxp://vidus.ru/777.gif
hxxp://viralstrategies.com/777.gif
hxxp://svatba.viskot.cz/777.gif
hxxp://Vivamodelhobby.com/777.gif
hxxp://vkinfotech.com/777.gif
hxxp://vytukas.com/777.gif
hxxp://waisenhaus-kenya.ch/777.gif
hxxp://watsrisuphan.org/777.gif
hxxp://www.ag.ohio-state.edu/777.gif
hxxp://wbecanada.com/777.gif
hxxp://calamarco.com/777.gif
hxxp://vproinc.com/777.gif
hxxp://grupdogus.de/777.gif
hxxp://knickimbit.de/777.gif
hxxp://dogoodesign.ch/777.gif
hxxp://systemforex.de/777.gif
hxxp://zebrachina.net/777.gif
hxxp://www.walsch.de/777.gif
hxxp://hotchillishop.de/777.gif
hxxp://innovation.ojom.net/777.gif
hxxp://massgroup.de/777.gif
hxxp://web-comp.hu/777.gif
hxxp://webfull.com/777.gif
hxxp://welvo.com/777.gif
hxxp://www.ag.ohio-state.edu/777.gif
hxxp://poliklinika-vajnorska.sk/777.gif
hxxp://wvpilots.org/777.gif
hxxp://www.kersten.de/777.gif
hxxp://www.kljbwadersloh.de/777.gif
hxxp://www.voov.de/777.gif
hxxp://www.wchat.cz/777.gif
hxxp://www.wg-aufbau-bautzen.de/777.gif
hxxp://www.wzhuate.com/777.gif
hxxp://zsnabreznaknm.sk/777.gif
hxxp://xotravel.ru/777.gif
hxxp://ilikesimple.com/777.gif
hxxp://yeniguntugla.com/777.gif

Win32.HLLM.Netsky.35328

W32.Netsky.P@mm, W32.Netsky.P@mm!enc, W32.Netsky.Q@mm, W32.Netsky.dam, W32/Cabanas, W32/Netsky.dam, W32/Netsky.p.eml!exe, W32/Netsky.p@MM, W32/Netsky.p@MM!zip, WORM_NETSKY.DAM, WORM_NETSKY.P, WORM_NETSKY.Q, WORM_Netsky.Dam, Win32/NetSky.P!Corrupted!Trojan, Win32/Netsky.P!Worm, Win32/Netsky.P.ZIP!Trojan, WinNT/Cabanas.B, application Exploit-MIME.gen.c)
Добавлен в вирусную базу Dr.Web®: 2004-03-22 13:20:00


Тип вируса: Почтовый червь массовой рассылки

Уязвимые ОС: Win95/98/Me/NT/2000/XP

Размер файла: 29 568 байт

Упакован: FSG


Техническая информация

Распространяется по электронной почте, используя собственную реализацию SMTP протокола.


Для обеспечения своей постоянной работы вносит в секцию автозагрузки реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run запись "Norton Antivirus AV" = %WinDir%\FVProtect.exe.


Создает семафор ”_-oO]xX|-S-k-y-N-e-t-|Xx[Oo-_”

Копирует в %WinDir% файлы userconfig9x.dll, base64.tmp, zip1.tmp, zip2.tmp, zip3.tmp, zipped.tmp.

Для своего распространения сканирует локальные диски компьютера, просматривая в поиске адресов файлы с такими расширениями:

.pl
.htm
.html
.eml
.txt
.php
.asp
.wab
.doc
.vbs
.rtf
.uin
.shtm
.cgi
.dhtm
.adb
.tbb
.dbx
.sht
.oft
.msg
.jsp
.wsh
.xml

Тема сообщения выбирается из списка:

You were registered to the pay system.
Can you confirm it?
Is that your password?
Re: Is that your document?
all_doc01
document04
about_you
your_document
Please read the attached file.
Re: Your document
Re: Approved document
Encrypted_msg01 pgp_sess01
Protected message is attached.
Encrypted message is available.
Mail Authentication Protected Mail System
Please confirm my request
readme msg
Re: Encrypted Mail
Re: Extended Mail
Re: Status
Re: Notify
Re: SMTP Server
Re: Mail Server
Re: Delivery Server
Re: Bad Request
Re: Failure
Re: Thank you for delivery
Re: Test
Re: Administration
Re: Message Error
Re: Error
Re: Extended Mail System
Re: Secure SMTP Message
Re: Protected Mail Request
Re: Protected Mail System
Re: Protected Mail Delivery
Re: Secure delivery
Re: Delivery Protection
Re: Mail Authentification

Имя вложения выбирается из списка:

text
message data
excel document
screensaver
word document
bill
information
details
file
document
application
website
product
letter

Червь обладает способностью распространяться по файлообменным сетям. Для этого он сканирует локальные диски на наличие папок с такими именами:

icq
shar
download
kazaa
donkey
mule
bear
morpheus
lime

В случае обнаружения таких папок, червь копирует в них свои копии с со следующими названиями:

XXX hardcore pics.jpg.exe
Dark Angels new.pif
Porno Screensaver britney.scr
Best Matrix Screensaver new.scr
Adobe Photoshop 10 full.exe
Adobe Premiere 10.exe
Teen Porn 15.jpg.pif
Microsoft WinXP Crack full.exe
Adobe Photoshop 10 crack.exe
Windows XP crack.exe
Windows 2003 crack.exe
Arnold Schwarzenegger.jpg.exe
Saddam Hussein.jpg.exe
Cloning.doc.exe
American Idol.doc.exe
Eminem Poster.jpg.exe
Altkins Diet.doc.exe
Eminem blowjob.jpg.exe
The Sims 4 beta.exe
Lightwave 9 Update.exe
Ulead Keygen 2004.exe
Smashing the stack full.rtf.exe
Internet Explorer 9 setup.exe
Opera 11.exe
DivX 8.0 final.exe
WinAmp 13 full.exe
Cracks & Warez Archiv.exe
Visual Studio Net Crack all.exe
ACDSee 10.exe
MS Service Pack 6.exe
Clone DVD 6.exe
Magix Video Deluxe 5 beta.exe
Star Office 9.exe
Partitionsmagic 10 beta.exe
Gimp 1.8 Full with Key.exe
Norton Antivirus 2005 beta.exe
Windows 2000 Sourcecode.doc.exe
Keygen 4 all new.exe
3D Studio Max 6 3dsmax.exe
1001 Sex and more.rtf.exe
RFC compilation.doc.exe
Full album all.mp3.pif
Dictionary English 2004 - France.doc.exe
Win Longhorn re.exe
WinXP eBook newest.doc.exe
Learn Programming 2004.doc.exe
How to hack new.doc.exe
Doom 3 release 2.exe
E-Book Archive2.rtf.exe
netsky source code.scr
Ahead Nero 8.exe
Screensaver2.scr
Serials edition.txt.exe
Microsoft Office 2003 Crack best.exe

Червь подписывает рассылаемые письма от имени различных антивирусов:

+++ Attachment: No Virus found
+++ MessageLabs AntiVirus - www.messagelabs.com

+++ Attachment: No Virus found
+++ MC-Afee AntiVirus - www.mcafee.com

+++ Attachment: No Virus found
+++ Kaspersky AntiVirus - www.kaspersky.com

+++ Attachment: No Virus found
+++ Panda AntiVirus - www.pandasoftware.com

++++ Attachment: No Virus found
++++ Norman AntiVirus - www.norman.com

++++ Attachment: No Virus found
++++ F-Secure AntiVirus - www.f-secure.com

++++ Attachment: No Virus found
++++ Norton AntiVirus - www.symantec.de

Не рассылает свои копии, если в адресе присутствуют такие комбинации:

@microsof
@antivi
@symantec
@spam
@avp
@f-secur
@bitdefender
@norman
@mcafee
@kaspersky
@f-pro
@norton
@fbi
abuse@
@messagel
@skynet
@pandasof
@freeav
@sophos
ntivir
@viruslis
noreply@
spam@
reports@

Помимо своей основной функции (распространения по электронной почте), червь обладает деструктивными функциями:

Удаляет из системного реестра такие ключи:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Explorer
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \msgsvr32
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \winupd.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \direct.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \jijb
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \DELETE ME
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Sentry
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \system.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \service
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Taskmon
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Video
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Windows Services Host

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services\Video
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services\system.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Explorer
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Taskmon
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Windows Services Host
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \OLE
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \rate.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \ssate.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \gouday.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \direct.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \winupd.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \d3dupdate.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \au.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \srate.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \sysmon.exe

Червь также удаляет следующие ключи из реестра:
HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
HKLM\System\CurrentControlSet\Services\WksPatch
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\PINF

В теле червя содержатся текстовые строки, свидетельствующие о негативном отношении авторов семейства почтовых червей Netsky к авторам другого семейства почтовых червей - Beagle:

B+a+g+l+e,
d+o +n+o+t+ d+e+l+e+t+e
S+k+y+N+e+t.

Подставляет в тело письма ссылку на якобы полное письмо. Имя домена подставляется из второй части адреса получателя (@domainname), а имя адресата - из первой части (username@). Например:
------------------------------
From: [email protected]
To:[email protected]
Subject: Mail Delivery (failure [email protected])

If the message will not displayed automatically,
follow the link to read the delivered message.

Received message is available at:

www.sexnet.com/inbox/lola/read.php?sessionid-17423

------------------------------


Рекомендации по восстановлению системы

1. Загрузить ОС Windows в Безопасном режиме (Safe Mode).
2. Воспользоваться дисковым сканером Dr.Web® либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Для всех найденных инфицированных файлов необходимо применить действие "Лечить".
3. Восстановить реестр из резервной копии.

Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы. Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat! настраивается следующим образом:
Ящик - Свойства почтового ящика - Файлы и каталоги - Хранить присоединенные файлы в отдельном каталоге (Account - Properties - Files & Directories - Keep attachment files - Separately in a special directory).

Win32.HLLM.Limar.based

(Email-Worm.Win32.Warezov.ab, Email-Worm.Win32.Warezov.aj, Email-Worm.Win32.Warezov.y, Generic.Stration.897DECD2, Generic.Stration.C3436AB9, Generic.Stration.CD715647, Generic.Stration.D070A9FB, Generic.Stration.E440BC60, Generic.Stration.F061257B, I-Worm/Generic.PT, I-Worm/Generic.QJ, W32/Stration@MM, W32/Warezov.AA@mm, W32/Warezov.AB@mm, W32/Warezov.S@mm, W32/Warezov.Y@mm, WORM_STRATION.BC, WORM_STRATION.BL, Win32/Stration!generic, Win32/Stration.AQ, Win32/Stration.AT, Win32/Stration.Variant!Worm)



Тип вируса: Почтовый червь массовой рассылки

Уязвимые ОС: Win95/98/Me/NT/2000/XP

Размер файла: 130 - 148 Кбайт, 10-30 Кбайт

Упакован: Upack, UPX


Техническая информация


Распространяется в виде писем с вложениями.

Тема письма может быть следующей:

Server Report
Status
Error
Test
Mail Delivery System
Mail server report.
Mail Transaction Failed
Good day
picture
Hello

Вложение может быть в виде ZIP-архива, EXE-файла или файла с двойным расширением.

Имя вложения может быть следующим:

1.Update-KB[число]-х86 с расширением ZIP или EXE.

2. test, body, docs, doc, test, text, readme, file, document, data

Тело письма содержит текст:

------------------------------------
Mail server report.

Our firewall determined the e-mails containing worm copies are being sent from your computer.

Nowadays it happens from many computers, because this is a new virus type (Network Worms).

Using the new bug in the Windows, these viruses infect the computer unnoticeably.
After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses

Please install updates for worm elimination and your computer restoring.

Best regards,
Customers support service
--------------------------------------
Mail transaction failed. Partial message is available.
--------------------------------------
The message contains Unicode characters and has been sent
as a binary attachment.
---------------------------------------
The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment
---------------------------------------
В зависимости от типа вложения в письме при своём запуске червь выпоняет:

1. Выводит на экран "Update successfully installed" (при запуске вложения Update-KB[число]-х86).
2. Запускает Notepad, показывая пользователю беспорядочный набор символов (при запуске вложения в виде файла с двойным расширением).

В зависимости от своей модификации при своём запуске червь создаёт следующие файлы:

%WinDir%\serv.exe (148 621 байт)
%WinDir%\serv.s (148 621 байт)
%WinDir%\system32\serv.dll (7 680 байта)
%WinDir%\system32\e1.dll (8 704 байта)
%WinDir%\system32\jgmdmsxm.dll (28 672 байта)
%WinDir%\system32\netacdmo.dll (20 480 байт)
%WinDir%\system32\tsd3rasd.exe (16 384 байта)
%WINDIR%\System32\wupstInt.dll (28672 байт)
%WINDIR%\System32\cssewmpd.exe (16384 байт)
%WINDIR%\System32\regaufat.dll (24576 байт)

Причём имена файлов динамических библиотек (*.dll) подставляются разные - в зависимости от модификации червя.

Червь маскирует свои процессы.

Червь завершает процессы некоторых антивирусных продуктов и межсетевых экранов. В частности, червь автоматически устанавливает приложение serv.exe в число "Доверенных" в списке приложений Agnitum Outpost Firewall, если используется политика "Режим обучения".

Червь создаёт файл с расширением *.wax, в который записывает почтовые адреса, зарегистрированные в поражённой системе.

Для своего последующего запуска червь прописывает себя в автозагрузке, модифицируя секции в реестре:

HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersio n\Run
"serv" = C:\Windows\serv.exe s

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
"AppInit_DLLs" = wupstInt.dll e1.dll

Рассылает свои многочисленные копии, соединяясь по протоколу SMTP с разными серверами.


Рекомендации по восстановлению системы

1. Отключить "Восстановление системы".
2. Загрузить ОС Windows в Безопасном режиме (Safe Mode).
3. Воспользоваться дисковым сканером Dr.Web® либо бесплатной утилитой Dr.Web® CureIT! для сканирования локальных дисков компьютера. Для всех найденных инфицированных файлов необходимо применить действие "Лечить".
4. Восстановить реестр из резервной копии.

Важно! Непосредственно перед выполнением п.2 необходимо настроить используемый почтовый клиент
таким образом, чтобы он хранил вложения в виде отдельных файлов, а не в теле почтовой базы.
Например, хранение вложений отдельно от почтовой базы в почтовом клиенте TheBat!
настраивается следующим образом:
Ящик - Свойства почтового ящика - Файлы и каталоги - Хранить присоединенные файлы в отдельном
каталоге
(Account - Properties - Files & Directories - Keep attachment files - Separately in a special directory).

Китайский киберчервь поразил миллионы компьютеров в США, Европе и самой КНР. Вирус получил название worm.whboy по названию провинции Ухань

Червь препятствует запуску программ и нарушает целостность работы баз данных. Распространяется через Интернет.
Киберчервя оценили по высшей категории опасности из-за серьезного потенциала его широкого распространения. Новый червь может препятствовать зараженным компьютерам управлять антивирусным программным обеспечением и любыми программами, использующими расширение «exe». Пользователи узнают о заражении системы, когда ярлыки файлов превращаются в изображения панд с горящими китайскими фонарями.
Для защиты от вируса эксперты советуют пользователям не открывать незнакомые ссылки. Они также убеждают поднять уровень безопасности интернет-браузеров хотя бы до среднего и изменить пароли на вход в Windows.

Руткиты (rootkits) — это утилиты, используемые хакерами для сокрытия своей вредоносной активности: установки шпионского ПО, кражи данных и т.д. Впервые они появились около 10 лет назад. Изначально данный вид вредоносного ПО был разработан для систем Unix, но сейчас появляется все больше руткитов под Windows.
Несмотря на то что руткиты не являются чем-то новым, они были заново открыты как вид вредоносного ПО, которое может помочь хакеру незаметно выполнять множество вредоносных действий. Мы видели, как они были использованы в комбинации с бэкдорами (backdoor) для установления удаленного контроля над компьютерами».

Для сокрытия своей вредоносной активности руткиты модифицируют операционную систему на компьютере и могут даже заменять основные функции. Это значит, что они не только скрывают свое собственное присутствие, но также и действия, которые предпринимает злоумышленник на зараженном компьютере. Более того, руткит может скрывать присутствие других вредоносных программ на компьютере, просто изменяя файловые данные, ключи реестра или активные процессы.

По мнению экспертов PandaLabs, лучшая защита от руткитов — предупредительные меры, например, адекватно обновленное антивирусное решение, которое способно блокировать проникновение большинства руткитов. Межсетевые экраны также полезны, так как могут помешать руткитам проникнуть сквозь незащищенные порты и остановить их активность, если они уже установились на компьютер

Классификация угроз для вашего компьютера

Вирусы

Программы, заражающие другие программы путем добавления в них своего кода, чтобы получить управление при запуске зараженных файлов. Скорость распространения вирусов немного ниже, чем у червей.

"Троянские" программы

Строго говоря, данная категория программ может быть отнесена к вирусам. В нее входят программы, осуществляющие различные действия, не санкционированные пользователем: сбор информации и ее передачу злоумышленнику, разрушение или злонамеренная модификация данных, нарушение работоспособности компьютера, использование ресурсов компьютера в своих целях.

Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособности зараженного компьютера (например, троянские программы, разработанные для распределенных DoS-атак на удаленные ресурсы сети).

Троянские кони
Отличаются от вирусов тем, что они не размножаются и часто маскируются под видом полезных и безопасных программ или обновлений для популярных программ.

Интернет-трояны - программы, которые либо дают доступ к компьютеру с другого компьютера без ведома пользователя (BackDoor), либо высылают по определенному адресу какую-либо информацию с компьютера-жертвы (Trojan.PSW).

Черви
Данная категория вредоносного ПО не дописывается к исполнимому коду, а рассылает себя на сетевые ресурсы. К данной категории относятся программы, распространяющие свои копии по локальным и/или глобальным сетям с целью:
проникновения на удаленные компьютеры;
запуска своей копии на удаленном компьютере;
дальнейшего распространения на другие компьютеры сети.
Для своего распространения сетевые черви используют всевозможные компьютерные и мобильные сети: электронную почту, системы обмена мгновенными сообщениями, файлообменные (P2P) и IRC-сети, LAN, сети обмена данными между мобильными устройствами (телефонами, карманными компьютерами) и т. д.
Большинство известных сетевых червей распространяется в виде файлов: вложений в электронные письма, ссылок на зараженный файл на каком-либо веб- или FTP-ресурсе, в ICQ- и IRC-сообщениях, в виде файла в каталоге обмена P2P и т.п.Некоторые сетевые черви (так называемые "бесфайловые" или "пакетные") распространяются в виде сетевых пакетов, проникая непосредственно в память компьютера и активизируя свой код.Для проникновения на удаленные компьютеры и запуска своей копии сетевые черви используют различные методы: приемы социального инжиниринга (например, сопровождение электронным письмом, призывающим открыть вложенный файл), недочеты в конфигурации сети (к примеру, копирование на диск, открытый на полный доступ), ошибки в службах безопасности операционных систем и их приложений.
Некоторые сетевые черви обладают также свойствами других разновидностей вредоносного программного обеспечения. Например, содержат троянские функции или способны заражать выполняемые файлы на локальном диске, то есть имеют свойства троянской программы и/или компьютерного вируса.

Хакерские утилиты
Программы, предназначенные для нанесения какого-либо вреда программному обеспечению (подбор паролей, удаленное управление и т.д.). Программы данного класса не являются ни вирусами, ни "троянскими конями" и не наносят вреда компьютерам, на которых они установлены, но при этом могут использоваться для проведения атаки на другие компьютеры и на чужую информацию.
К данной категории программ относятся:
утилиты автоматизации создания сетевых червей, компьютерных вирусов и троянских программ (так называемые "конструкторы");
программные библиотеки, разработанные для создания вредоносного ПО;
хакерские утилиты сокрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов).

Программы-шпионы (spyware)
Программное обеспечение, использование которого может нанести вред информации пользователя. Под термином "spyware" в подавляющем большинстве случаев подразумевается целое семейство программ, в которое входят программы дозвона, утилиты для закачивания файлов из интернета, различные серверы (FTP, Proxy, Web, Telnet), IRC-клиенты, средства мониторинга, PSW-утилиты, средства удаленного администрирования, программы-шутки. Иногда в семейство spyware включают еще и рекламные коды (adware), которые могут демонстрировать рекламные сообщения, подставлять, изменять результаты поиска и любыми доступными способами продвигать рекламируемый сайт. Если подходить к терминологической проблеме академически, то все перечисленные выше типы программ следует называть "riskware". На русском языке это слово означает "условно опасные программы" - то есть такие, которые могут причинить вред информации пользователя.

КириллK,
С мануала по Касперскому что ли скопировал?гг
Не забываем юзать тег **спрятанный текст**
Извени но читать бОяны на пол страницы не впечатляет

КириллK,
С мануала по Касперскому что ли скопировал?гг
Не забываем юзать тег **спрятанный текст**
Извени но читать бОяны на пол страницы не впечатляет

Нет не угадали, не из Касперского. Я точно не помьню откуда, но точно не из Каспера, помоему, если мне не изменяет память с какого то форума,
точно не помню. Но если надо могу вспомнить.

Кто-нибудь сталкивался с Trojan.Recycle???

создает папку Recycled в которой есть файл cftmon.exe собственно сам вирус

а autorun.inf следующего содержания

[autorun]
shellexecute=Recycled\ctfmon.exe
shell\Open(&0)\command=Recycled\ctfmon.exe
shell=Open(&0)

при открытии папки, в которой сидит данный вирус комп заражается...

А что он делает???

Win32_Agent.AEC
после очистки не работают абсолютно все ехе файлы, заходим в папку Windows находим файл Regedit.exe переименовываем в Regedit.com
редактируем реестр путь HKEY_Classes_root\exefile\shell\open Нестандартный ключ Shell\Open для "exefile": "soundmix "%1" %*" просто удаляем soundmix и усе работает
данный троян создает себя под именем
C:\windows\system32\soundmix.exe
C:\WINDOWS\system32\dllcache\zipexr.dll
и соответственно при запуске ехе файлов прописывает их через себя

Из техподовского опыта.
В локалке с ВПНкой и часто встречал тему когда у пользователей слетали настройки%) Выдаёт ошибку 678 ,иногда 691. Номер телефона становился 8,, и тд. Можно конечно написать самостоятельно как решать ету проблему, но тут на Каспере есть описание:
http://www.viruslist.com/ru/viruses/encyclopedia?virusid=109170
Палится он элементарно ... в процессах присутствует itunesff. Говорят бывает что процесс называется fsb , но я ни разу не видел такого.